文字サイズ
    ITジャーナリスト三上洋さんが、サイバー犯罪から身を守る術や情報流出対策などを解説します。

    JAL3.8億円詐欺被害 ビジネスメールに割り込み偽請求

     日本航空(JAL)がビジネスメール詐欺に遭い、約3億8000万円をだまし取られた。警視庁が詐欺容疑で捜査しているという。JALか取引先のパソコンをウイルス感染させてメールを盗み見たり、メールアカウントを乗っ取ったりする手口が使われた可能性があると、専門家は指摘している。(ITジャーナリスト・三上洋)

    通称はBEC スカイマークでは未遂

     JALは昨年12月20日、偽の請求書メールにだまされて約3億8000億円の被害に遭ったと発表した。

     ビジネスメール詐欺(BEC=Business E-mail Compromise)と呼ばれる事件だ。犯人は、JALと取引先のメールのやり取りに割り込み、取引先になりすまして、口座に金を振り込ませた。「架空請求詐欺」のようなバラマキ型の詐欺メールとは異なる高度な手口の詐欺と言える。JALの被害と、同様の手口で攻撃を受けたが被害を免れたスカイマークの事例をまとめておこう。

    (1)旅客機リース料 約3.6億円被害
     昨年9月、旅客機のリース料について、支払先である海外の金融会社の担当者になりすました偽の請求書がJAL本社に届いた。「料金の振込先の口座が香港の銀行に変更された」などと記されており、JALの担当者は約3億6000万円を指示通りの口座に振り込んだ。数日後、全額が引き出されて回収不能になった。
    (2)地上業務委託料 約2400万円被害

     昨年8月、貨物の業務委託料について、JALの米国にある貨物事業所に支払先口座の変更を伝えるメールが届いた。JAL側の担当者は、変更された香港の銀行口座へ2回にわたり、計約2400万円を振り込んでしまった。
    (3)スカイマーク 詐欺未
     2016年6月、取引先の担当者を名乗る約40万円の請求書が届く。支払先を香港の銀行口座に変更すると記されていた。スカイマークの担当者もだまされて振り込もうとしたが、すでに口座が凍結されていたため被害を受けずに済んだ。その後、取引先に確認して偽メールだったと判明。口座変更メールは昨年10月にも届いたが、1年4か月前の未遂事件について社内で注意喚起をしていたため、担当者が取引先への問い合わせで偽メールだと見抜き、被害を防いだ。

     共通するのは、本物のメールのやり取りに割り込む形で、犯人が詐欺をはたらくことだ。(1)と(2)では、正規の取引先からPDF請求書が届いた直後に、「訂正版」として偽の請求書が送られてきた。そっくりのPDF(文書ファイル)で、担当者名も同じだった。(1)の送信元メールアドレスは、本来の取引先と酷似したものが使われていた。

     つまり犯人は、航空会社と取引先が交わしたメールを、まんまと盗み見していた可能性が高い。そうでなければ、同じフォーマットで本文や請求書PDFを作り、巧妙なタイミングで口座変更を促すのは不可能だ。

    ウイルスでメール盗み見か アカウント乗っ取りか

     セキュリティー大手「トレンドマイクロ」のシニアスペシャリスト・鰆目順介氏は「ウイルス感染などによってメールを盗み読みされている、もしくはクラウドメールなどのパスワードが漏れることでメールアカウント自体を乗っ取られている。二つの可能性があるのではないか」と推測する。

     メール盗み読みの場合、犯人はJALもしくは取引先の社内のパソコンを、ウイルス感染させる。現在のウイルスの多くは、犯人が外部から遠隔操作できるしくみを持っているので、メールの盗み見やキーボード入力を監視する「キーロガー」を入れることが可能になる。

     メールアカウントの乗っ取りは、Gmailなどの「クラウド型メール」ではIDとパスワードさえ入手すれば、外部からでもメールを盗み見できてしまうことを利用した手口だ。JALの発表によると、被害事例の(2)では、偽メールの送信元アドレスがいつもと違うことに気づいた担当者が問い合わせの返信メールを送信している。ところが、その後、正しいメールアドレスから「口座変更は本当だ」とするメールが届いたため、入金してしまったのだという。これが事実であれば、アカウント乗っ取りの可能性がありそうだ。

    海外では2014年頃から流行 日本では法人の7%で被害

     BECは、海外では2014年頃から流行しており、80億円もの被害が出た例もある。米国のインターネット犯罪苦情センターのまとめによれば、2013年10月から2016年12月までの約3年間で累計被害額は5900億円超、被害件数は4万件あまりに及ぶ。

     国内でも2016年から被害が出ている。トレンドマイクロのまとめによれば、5件の被害が確認されており、「ペンションの宿泊代金など2000万円を取られた(不動産管理会社:2016年3月)」「農機具を海外に発注した後に代金500万円を取られた(農機具販売会社:2017年3月)」などの事例がある。

     2017年に日本国内の企業で確認されたBEC(未遂を含む)のメールは11件と、まだあまり多くない。ただ、同年9月にトレンドマイクロがまとめた企業へのアンケートでは、国内法人組織のうち13.4%がBECの偽メールを受信したことがあり、7.4%が金銭詐欺被害にあっているとの回答が集まった。前出の鰆目氏は「ビジネスメール詐欺が認知されていないこともあり、公になっていない被害もあるのではないか」と推測する。

    「口座変更メールは二重チェック」が一番の対策

     こうした事態を重くみて、警察庁は「ビジネスメール詐欺に注意!」と題した文書で、BECに対する注意を呼び掛けた。全国銀行協会も「法人間の外国送金の資金をだまし取る詐欺にご注意!」として、企業に警戒を促している。

    手口の詳細については、「【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口」と銘打った情報処理推進機構によるまとめが参考になる。企業の経理担当者は、トレンドマイクロがまとめた「世界中で被害が拡大する ビジネスメール詐欺(BEC)の脅威(要登録)」にも目を通しておきたい。

     今のところ企業狙いがほとんどだが、個人が狙われる可能性もある。メールやSNSなどを安易に信じず、いったん立ち止まって「本当か?」と考えることが大切だ。以下のことに注意してほしい。

    〈口座変更の連絡は疑う〉
     口座変更を伝えるメールや請求書に注意し、電話などで支払先に「本当に変更なのか?」と確かめる。電話番号はメールに書いてあるものではなく、自分で調べて問い合わせる。
    〈メール経由でのクレジットカード登録は避ける〉
     メールのリンクをクリックした先でクレジットカードを登録しない。偽サイトへ誘導するワナかもしれない。登録を促すメールが来た場合は、自分でアドレスを調べて正規サイトを開き、本当に登録が必要なのか確かめる。
    〈メールのID・パスワードを複雑なものに〉
     メール乗っ取りを防ぐために、パスワードを独自の複雑なものにする。パスワードの使い回しは絶対にやめる。
    〈ウイルス感染対策を講じる〉
     Windows、Macともにセキュリティー対策ソフトを導入し、必ず契約する。有料版の場合は料金も支払う。

    ●参考記事
    Apple・amazon・マイクロソフトの偽メールに注意:サイバー護身術
    DMM装う詐欺摘発…被害10億円以上か:サイバー護身術
    ビジネスメール詐欺の被害に遭わないために、知っておくべき兆候:トレンドマイクロセキュリティブログ

    2018年01月10日 10時30分 Copyright © The Yomiuri Shimbun
    プロフィル
    三上洋   (みかみ・よう
     セキュリティ、ネット活用、スマートフォンが専門のITジャーナリスト。最先端のIT事情をわかりやすく解き明かす。テレビ、週刊誌などで、ネット事件やケータイ関連の事件についての解説やコメントを求められることも多い。
    おすすめ
    PR
    今週のPICK UP
    PR
    今週のPICK UP