ビジネスWi-Fiで会社改造(第44回)
ビジネスWi-Fiで"学び"が進化する
日本航空(JAL)が、不正な電子メールアドレスを利用した詐欺行為に遭い、3億8000万円を詐取される事件が起きた。手口はいわゆる「オレオレ詐欺」に酷似している。働き盛りの明晰(めいせき)な判断ができる世代にとって、オレオレ詐欺に自分が遭遇するなどあまり想定しない出来事だ。「怪しいぞ」と気付ける自信があると考える人が多いだろう。シニアの親世代の心配こそすれ、自分がだまされるとは思わない。しかし、それが「ビジネスの現場」となると、働き盛りの世代であっても安心できない事実が、日本を代表する航空会社の事件から見えてきた。
詐欺に遭ったのは、2つの事案だという。1つは「航空機リース料の詐取」、もう1つは「貨物地上業務委託料金の詐取」である。事の経緯を見ていこう。
取引先からのビジネスメールなのに
航空機リース料の詐取は、約3億6000万円と被害額が非常に大きなものとなった。JALが海外の金融会社からファイナンスリースで導入している、ボーイング製航空機のリース料の支払金額が、何者かによって詐取されたという。その手口は、正規の支払先の担当者になりすました第三者が、偽のメールで虚偽の請求書を送ってきたというもの。虚偽の請求書には、香港の銀行に開設された不正な銀行口座が記載されていた。担当者は正規の支払先の口座が変更されたものと信じて、請求額を送金してしまった。2017年9月29日のことだ。
この事件から遡ることおよそ1カ月。8月24日と9月7日には、貨物地上業務の委託料金も詐取されていた。JALの米国の貨物事務所が、取引先への2017年7月分と8月分の支払いを香港の銀行に指定された、不正な銀行口座に送金してしまったというものだ。被害額は約2400万円。こちらも偽のビジネスメールを見抜けなかった。
取引先から、ごく普通に担当者に届いたビジネスメール。それも、毎月の請求のような定期的な連絡で、正しい手続きに従ったものだった場合、なかなかそのメール自体が「偽物」だとは思いにくい。請求先の口座が変わったといった連絡を真に受け、そのまま送金してしまうことも十分にあり得る。こうした手口の詐欺を「ビジネスメール詐欺」(BEC:Business Email Compromise)と呼ぶ。急増しているビジネスメール詐欺に、JALほどの企業であってもだまされてしまうのだ。
ビジネスメール詐欺の周知徹底が急務
JALが直面した詐欺では、残念ながら送金した大金はだまし取られてしまったようだ。JALは、航空機リース料については日本と香港の警察に被害届を提出。貨物地上業務の委託料金については、地元警察、FBI、香港警察に被害届を提出している。航空機リース料の被害額は、2017年度の決算で損失計上を予定しているという。企業の規模によっては、経営に大きな影響を及ぼすリスクがある被害額だ。こうした事態に陥らないような対策は可能なのだろうか。
JALではまず、詐欺被害の経緯、犯行の手口などの詳細をグループ内で共有し、注意を喚起。その上で、振込口座の設定や変更の依頼があった際の対応について新しい検証プロセスを導入する。担当部署や出納組織の双方で事実確認の徹底、口座情報登録手続きの厳格化を実施するという。
ビジネスメール詐欺への対策としては、人的な教育、周知の徹底が求められる。オレオレ詐欺で「携帯電話の番号が変わった」という嘘の電話を信じないように啓発を続けるように、企業内でも「送金口座が変わった」というメールはリスクが高いと周知する必要がある。その上で、JALのように口座変更といった直接の被害につながる事案では、取引先へ確認を求めるなど、ビジネスプロセスの改変も必要になる。
ビジネスメール詐欺に使われる偽のメールは、正規のメールアドレスと1文字違うといった不審な点がある場合もあるが、実際に取引先のメールアドレスが乗っ取られて正規のメールアドレスから送られてくるケースもある。情報システム側の対策だけで、確実な警告を発するのは現状では難しそうだ。そうなると、やはり実際にビジネスを動かす人間に対する脅威の周知徹底と、リスクを下げるためのビジネスプロセスの最適化といった、地道な対策が最大の対策になる。JALが直面したビジネスメール詐欺の事例を見ると、改めて「だまされないための意識の徹底」が必要だと多くのビジネスパーソンが実感するだろう。
執筆=岩元 直久
【MT】
