様々なタイプのメール詐欺がありますが
その中で被害が大きいだけでなく
他と比べても判断が難しいのが
ビジネスメール詐欺 です。
「こんなの引っかかる方が
絶対おかしいって」
その認識は危ないかもしれません。
私はどちらかというと
パソコン関係が強いと思っているし
ちょっと前なら上のようなことを
普通に思っていたんですよね。
色々と調べていくと
もし自分が同じ立場だったとして
それが詐欺だとわかっただろうか?
と不安になってしまいました。
知っておくことで回避できる
もしかしたらと思うことができる
そういう意識が大事だと
改めて感じる犯罪の手口。
より洗練されてきているだけに
もし自分が被害にあったらと
想像するだけでも怖いですよね。
目次
ビジネスメール詐欺って何?
いわゆるメールでの詐欺というと
業者や知人であるかのように偽り
情報を抜き出したり
お金を振り込ませたりといった
そういったイメージがあります。
では、ビジネスとつくと
普通の詐欺とは違うのでしょうか?
答えは規模や対象が変わるぐらいで
根本的には変わりません。
対象が変わる、でもそれが怖い
詐欺メールが出回っていることが
わかっているものならば
警戒もすると思います。
例えばAmazonだとかAppleだとか
この辺りは頻繁に詐欺のメールが
送られてくるわけですし
思い当たらなければおかしいなと
ちゃんと感じますよね。
ビジネスメール詐欺の場合
犯罪者は取引先であったり
経営者や経理などになりすまし
銀行などに入金させます。
今のところこの手の多くは
海外からのものが多いです。
しかし名前が知られてきた最近では
日本語のビジネスメール詐欺が登場、
経営に近く資金を動かせる立場の方は
一層の注意が必要ですね。
どんな被害がでてるの?
少なくとも数百万で大きいと億単位で
すでに日本でも被害が出ています。
個人的に記憶に残っているのは
2017年12月のJAL・日本航空が
約3億8千万円をだまし取られた事件。
その他にも著名ブランドである
ドルチェ&ガッバーナの日本法人にて
少なくとも約3億円以上という
大きな被害が発生してます。
ちょっと想像できないような
大きい金額の被害を聞くと
その手口が気になりませんか?
ビジネスメール詐欺、5つの手口
多額の損失をもたらすビジネスメール詐欺
これに関しては今のところ
5つのタイプに分類されています。
取引先との請求書の偽装
「偽の請求書詐欺」
「サプライヤー詐欺」
「請求書偽装の手口」
と呼ばれる手口です。
被害は海外の企業との
やり取りが多い企業に
みられるようですね。
A社が取引しているB社があるとします。
A社の従業員のメールアドレスを
犯罪者が何らかの方法で取得。
犯罪者はそのメールアドレスを使い
B社へと偽の請求書を送り付け
振り込みを指せるというもの。
ポイントとしてはこの場合
すでに犯罪者はA社とB社の
取引に関する情報を得ているという点。
人間関係やどういった取引があるのか
それを理解した上で偽の請求書を作るので
引っかかってしまうというもの。
メールアドレス云々よりも
取引情報が流出している事実が
非常に重いと私は感じます。
経営者等へのなりすまし
「CEO 詐欺」
「企業幹部詐欺」
「なりすまし詐欺」
「金融業界送金詐欺」
と呼ばれる手口です。
これはそのままで
経営者や役職者になりすまし
財務の担当者に振り込みを行わせる
というものですね。
経営者のメールアドレスを手に入れ
そのメールアドレスから
送信されたように偽るため
騙されてしまう人もいる模様。
これ、私も経験があるのですが
自分が送信した記憶がない場所に
メールが送られていることに
なっていたことがあります。
「こんなアドレスに送ってないのに
おかしいなー(クリック)」
などで情報がすっぱぬかれるのですが
こういう風に偽装されるのは怖い。
パソコン関係に詳しければ
ヘッダー情報などを洗えますが
普通の人には難しい。
さらに注意すべきは
被害にあったパターンとしては
節税のためなどもっともらしい理由で
「他の人に知らせないように」
なんて文言があることも。
本人に確認するのが一番なのですが
それができない企業であったり
人物であると危ないですね。
窃取メールアカウントの悪用
今までのと似ているように見えますが
こちらはその企業の従業員の
メールアカウントを何らかの方法で
乗っ取られているパターン。
嘘偽りなくその企業から送られてくるため
取引先などが騙される可能性も高いです。
特に取引実績がある従業員の
アカウントである場合は危険ですね。
その人の信用ごと乗っ取られているので
取引先も騙されてしまい
指定された口座に素直に振り込んでしまう
その可能性が高くなります。
窃盗される理由は大抵くだらない
よくあるのは会社のアカウントで
外部のサービスに登録する
というところでしょうか。
常識的に考えればそれって
絶対にやってはいけないのですが
常識よりも自分ルールを優先する
そういう人間が一定数いるのも確か。
なので、企業内のセキュリティや
管理する部門がアカウントが外部で
使われていないかをチェックできる
そういった体制が必要ですね。
小さい企業だと難しいでしょうが
大きい企業であると普通に
履歴を監視されているのですが
抜けってあるんですよね(遠い目)
社外の権威ある第三者へのなりすまし
こちらも割とある詐欺の手口。
弁護士や法律事務所などの
社外の権威ある第三者に
なりすまし振り込みをさせます。
例えば顧問弁護士からのメールとか
普段からやり取りしていなければ
そういうものなのかなと
お金をまず振り込んでしまうという
パターンがある模様。
緊急性があり速やかにお金を
振り込まなければならないように
煽ったりするのも手口の1つです。
確かに、日本人は権威には
弱いと私も思います。
私もそうですし(*ノノ)
詐欺の準備行為と思われる情報の詐取
すでに紹介した4つの手口とは違い
それらの前段階、準備となる
情報を集めるのが目的の手口ですね。
金銭ではなくあくまで情報が目的
というのが他の手口と異なります。
企業内の従業員の情報などを
手に入れようとするものであり
この段階で情報漏洩を
防ぐげるようにすることこそが
重要だと私は感じます。
詐欺といいつつも
こういった手口は口座への振り込みが
無ければ企業スパイなどが
する手口だったりします。
ビジネスメール詐欺という形ですが
これらに関する知識を持ち
セキュリティのレベルをあげれば
そのまま企業スパイなどへの
対策にもなりそうですね。
ビジネスメール詐欺のここがヤバイ
色々と調べていると
東京五輪に向けて増えそうな
そんな予感がするこの手口。
私が思ったヤバイなー
役職者も研修必須だなと思った
やばい点を考えます。
被害額が非常に大きい
被害額は1件あたり
数百万~億単位になるのが
ビジネスメール詐欺の特徴。
普通の詐欺の案件はあくまで
個人の資産状況に左右されますが
ビジネスメール詐欺の場合は
企業の財政状況によって
被害額も変わってきます。
自分のお金ではなく企業のもので
取引も口座へ振り込むだけだと
不審に思わないケースも。
大抵は財務の担当によって
チェックが入ると思うのですが
海外に送金した場合には
振り込んだお金が戻ってこない
という事の方が多いです。
よって、被害も大きくなってしまいます。
トカゲのしっぽ切りをされるかも
ビジネスメール詐欺に騙されて
口座にお金を振り込んでしまった場合。
最悪のケースとしては
クビになっただけでなく
損害賠償を請求されることも。
いくらなんでも
と思うかもしれませんが
ドルチェ&ガッバーナの日本法人では
実際に起きました。
裁判で争うようですが
責任がどうなるかによっては
ビジネスメール詐欺の脅威度が
上がることも考えられます。
パッと見で判断し辛い
メールアドレスが微妙に違う
とかならば、まだ判別はできます。
例として
aabb@company.com
というアドレスがあるとします。
以下はすべて偽のアドレスです。
aabb@comapny.com
×mapn 〇mpan
aabbb@company.com
×aabbb 〇aabb
aabb@comp ny.com
×comp ny 〇company
aabb@cornpany.com
×rn 〇m
aabb-company@free.com
〇aabb@company.com
こうやって並べて比べれば
違うことはわかります。
しかし複数のメールを処理している中に
これらが紛れ込んでいたとしたら?
一応これらは使っているメーラーで
フィルタリングをしてあげれば
簡単に防げることではあります。
登録してあるメールアドレス以外を
完全にシャットアウトしてしまえば
気にする必要はないですよね!
フィルターを設定することは
役職が上がるにつれて
必須になるのかもしれません。
他の詐欺よりも他人事に思えてしまう
私が一番怖いなーと
思ってしまったのがここです。
例えば普通の詐欺でも
「自分が引っ掛かるはずがない」
という人に限って
引っかかることは知られてますよね。
ビジネスメール詐欺の場合ですと
被害額が大きくなりますし
それなりの役職でないと
ターゲットにならないのではないか。
つまり
自分には関係がないのではないか
なんて思ってしまうわけです。
いやいや、待ってください。
決定したり、実行するのが
自分ではないとしてもですよ。
例えば担当として自分が最初に
その窓口になる可能性となれば
少なくはないですよね。
そして、自分が担当の部署に
流したことによって
というパターンはありえます。
自分には関係ないではなく
自分だけでも意識しておく。
被害にあわないためには
これだけでも全然違いますよ。
ビジネスメール詐欺と感じたときの対策は?
いくつか対策となることを
ご紹介します。
報連相
何をいまさらという感じですが
それができていないからこそ
被害が出ているわけです。
もしかしたらビジネスメール詐欺かも
と思った時にどうするかという
マニュアルを作っておくと
働き手としてはありがたいでしょう。
そうでなくとも請求元であったり
財務担当の部署に連絡をとるなどでも
被害はぐっと減ります。
また、メールの場合は電話で
といったように別の手段で
確認をするのも〇
それっぽいメールが送られてきたら
そのメールを報告して周知するのも
重要なことのひとつです。
自分たちの企業だけでなく
取引相手にも注意を促せますからね。
情報セキュリティの強化
ウイルスや不正アクセス対策の強化、
電子署名の付与などを行って
外部から付け込まれないようにする
というものです。
少なくともこれで企業側の
過失は減りますよね。
他にも類似するドメインが
取得されていないかを
定期的にチェックするのも〇
その企業の人間しか
使わないであろうドメインが
取得されている場合は
ビジネスメール詐欺に
使われる可能性がありますからね。
それ用のプログラムとか
探せばありそうな気が。
役職者への周知
その人の判断でお金を動かせちゃう
役職持ちの方々への周知も
必要なことだと私は考えます。
オレ流といえば聞こえはいいですが
自分で決めてガンガンやる人が
むしろ被害を出している印象。
アクションを起こす前に
他の人に確認するだけで
ぐっと被害はへるはずですからね。
教育というか知っておくことが
大事だと思うのですが
役職が上がれば上がるほど
そんな暇ないよと無視しちゃう
私のイメージですけど(*ノノ)
犯罪の知識があるって大事
ビジネスメール詐欺という犯罪の手口が
あると知っておくだけでも
あなたにとって全然違うわけです。
例えば不審なメールが届いたとして
知らないURLなどはクリックしない
不審な添付ファイルは開かない
これらを知っているからこそ
回避ができるというもの。
それを知らない人がクリックしたり
添付ファイルを開いて感染したり
ということをしてしまうのです。
たとえ実際には関係なくとも
自分を守るためにこういった
犯罪の手口を知っておくのは大事。
自衛のために知っておきたい犯罪手口の最新事情【電子書籍】[ 三才ブックス ]
報連相といってもそう頻繁に
確認したら確実に迷惑(*ノノ)
なので自衛できるところは
できるだけ自分で防ぐことも
大事なわけですよ。
情報セキュリティに関しての
講習がある企業なんかは
参加しておくといいかも。
私は元々すでに送信元の
メールアドレスのチェックはしてました。
しかしそれに加えて
口座の変更などを指示された場合は
気を付けたいと思います。
個人的に東京五輪が行われる
2020年までに国内での被害が
増えそうな予感がしてますので
あなた(とその企業)も
どうかお気をつけて。
最後までお読みいただき
ありがとうございました。