最大の脆弱性であるヒトを狙った “ビジネスメール詐欺”

 NHKによりますと、役員や取引先になりすまして金銭をだまし取ろうとする「ビジネスメール詐欺」という手口が横行しているとのこと。

 手口自体は昔からあるやり方なのですが、商取引を行う企業は対応方法をアップデートさせる必要があると言えるでしょう。

 

 役員や取引先になりすまして、メールで会社に偽の送金を指示する「ビジネスメール詐欺」と呼ばれる新たな手口の被害が国内で相次ぎ、数億円をだまし取られた企業もあることから、警視庁が捜査を進めています。

 

 会社の重役や、取引先になりすまして詐欺行為を行う手口自体は目新しいものではありません。“ソーシャルハッキング” と呼ばれる手法であり、ITの普及が世間に広まった時代から存在していた詐欺です。

 ただ、利用されるツールが “電話による指示” だったものが、メールによる指令に変わったことが最大の変化と言えるでしょう。

 

 役員を名乗る詐欺メールが威力を発揮するのは企業の管理部門に対してです。バックオフィス業務に従事する人々は他部門の社員とそれほど顔を合わせませんし、評価が減点対象なのですから、基本的に『イエスマン』が多いと想像できます。

 そこに「イレギュラーな事態が発生したから、早急に対処して欲しい」と立場がかなり上の人物からの “要請” が来るのです。

 多数の要望が日々寄せられているであろう部門で、(役員だという人物からの)要望の信憑性を疑う余裕があるでしょうか。

 本物の要請であり、担当部門がサボタージュしていたと判断されれば、部門全体が批判にさらされることでしょう。また、次期社長候補として見られる “やり手の役員” クラスからのビジネス上の要望にNOと言いづらいことが普通ですので、社内プロセス自体を見直す必要があります。

 

 それに対し、取引先関連でなりすましメールの被害に遭うのはどの企業も持っている営業・購買部門です。

 厄介なことに、取引先企業になりすました “ビジネスメール詐欺” は非常に見破りにくいという特徴があります。なぜなら、取引先が詐欺グループとグルだったり、知らない間に片棒を担いでいるというケースが考えられるからです。

 NHKの記事で紹介されていた「コンピューターウイルスに感染させ、事前にメールなどを盗み読んだ上でなりすましていた」というパターンは取引先企業が知らずに片棒を担ぐことになったケースと言えるでしょう。

 グルの場合は「取引先企業の “誰か” が意図的に請求書を持ち出し、悪用した」というケースです。契約書や請求書を見ることができるのは、当事者の社員だけでなく、上司やバックオフィス部門の社員はビジネス上に必要なこととして閲覧・アクセスが可能です。その中の1人が(社内規則に反してでも)持ち出せば、誰でも架空請求を行うことができてしまうのです。

 通常ですと、懲戒処分の対象となる行為をするような社員はいないでしょう。しかし、その社員がギャンブルなどで多額の借金を背負っていれば、どうでしょうか。

 

 「借りた分はそれ(請求書のコピー)で勘弁してやる」と囁く闇金業者が存在しても不思議ではありません。IT分野に詳しくない闇金は別の業者にそれを売り捌けば、実質的に借金を回収したことになるのですから、しばらくは流行する可能性があると言えるでしょう。

 支払い義務のある企業側ができる防衛策としては、振込先口座の変更についてもプロセスを事前に定めておくことになるでしょう。「騙された」と主張して支払いを拒むと “取り込み詐欺” になりますので、注意が必要です。

 どれだけ完璧なシステムを構築したとしても、それを運用する人間が最大の脆弱性を持っていることを念頭に置き、改善し続けることが最も有効な防護策になるのではないかと思われます。