ビジネスメール詐欺によりJALが約3億8000万円の被害

     
20171222

JAL(日本航空)は20日、取引先になりすましたメールで航空機リース料の支払いを騙ったビジネスメール詐欺(BEC)により約3億8000万円の被害に遭ったことを発表しました。

産経新聞によると、今年9月にJAL本社財務部へ「ボーイング777型」をリースしている米国の金融会社の担当者を装った者から、リース料の支払先を香港の銀行の別名義口座に変更した旨の請求書が添付された電子メールが届き、メールを信じたJALの担当者が指定された偽の香港の銀行口座に約3億6000万円を振り込んでしまったとのこと。

また、今年8月にもアメリカ支店の貨物事業所にも取引先を装ったメールが届き、指定された偽の香港の銀行口座へ約2400万円を振り込んでしまう詐欺被害にあった。

飛行機

ビジネスメール詐欺とは

スカイマークにも同様のメールが届いていたことを発表し、航空会社を狙ったビジネスメール詐欺(BEC)が相次いでいます。
取引先や上司になりすまして送金指示をする「振り込め詐欺」。これは、ビジネスメール詐欺(BEC)と呼ばれる新たなサイバー犯罪の一つです。

ビジネスメール詐欺(BEC)とは、取引先や企業幹部(最高経営責任者、役員)等になりすまして巧妙に細工したメールを送信し、企業担当者を騙して偽の口座に送金させる詐欺の事です。英語の「Business Email Compromise」の頭文字を取りBECと呼ばれています。

攻撃者は、従業員を騙すために本物に似せた偽のメールアドレスを用いて非常に巧妙な手段を用います。本物のメールアドレスに一文字追加したり、スペースを開けたりして一見見分けが付かないようにします。

<図1>偽メールアドレスの例(IPA掲載資料より引用)

偽メールアドレス

ビジネスメール詐欺(BEC)関連の記事はこちら

ビジネスメール詐欺対策のポイント

BECから企業を守るためには、セキュリティ対策だけではなく、まず脅威を知ることが大切です。
BECによるサイバー犯罪から企業を守るために、以下の取り組みを推奨いたします。

1.ビジネスメール詐欺(BEC)の脅威について知る
※ビジネスメール詐欺(BEC)の存在や手法について知ることが大切です。従業員に対しての意識啓発も行うことにより組織的セキュリティ対策を向上させましょう。

2.メールを注意深くチェックしましょう
※攻撃者はメールアドレスを巧妙に細工しています。メールアドレスやメール内容(文脈や言い回し、送金指示等)に不審な点がないか注意しましょう。

3.メール相手に確認をとりましょう
※送金指示や不審な点があった場合は、一度電話などで送信者に直接事実確認を取りましょう。その際は、メールアドレスに記載された連絡先ではなく、普段使用している電話番号へ連絡しましょう。

4.送金時のチェック体制を強化しましょう
※社内での送金時における2重、3重による承認体制の強化や振込先変更などの場合は、電話などで確認を行いましょう。

5.メールの添付ファイルを安易に開かないようにしましょう
※攻撃者は、請求書や議事録などの資料を装って添付ファイルから不正プログラムを感染させようと試みます。安易に添付ファイルは開かないようにしましょう。

6.OSやソフトウェアをバージョンアップする
※添付ファイルに偽装し、脆弱性を突いた攻撃を用いてウイルス感染を試みるケースもあります。常に最新バージョンに更新しておきましょう。

7.セキュリティ対策を強化する
※ビジネスメール詐欺は、不正アクセスやウイルス感染を起因として取引先の偽装などが行われているケースもあります。ウイルス対策ソフトの定義を常に最新バージョンにし、UTMによる防御も行っておきましょう。

セキュリティ対策

情報セキュリティに関することならお気軽にご相談ください。

お問い合わせはこちら