「日航偽メール3億8000万被害」というニュースがでています。これは、BEC(Business E-mail Compromised)という手法で、語られているものとおもわれます。
ニュースを見ていくと、「ことし9月、実在する海外の取引先を装った電子メールで、航空機のリース代として3億6000万円を請求され、財務担当の部署の社員が指定された香港の銀行口座に送金した」「送信者が取引先の担当者の名前になっていた上、添付された請求書も実物そっくりでサインもあった」とのことです。
BECについては、一般的なセキュリティのお話をするときに近時の傾向として話させていただいています。そこで使っているスライドは、こんな感じです。
上のスライドだと、お分かりのように、銀行名が、真っ黒銀行に書き換えられています。多分、請求書は、pdfあたりで送っているのでしょうから、そのpdf の銀行名を書き換えるのは、簡単であるということは、担当者は、知っておいてもらいたいことです。
Tcyssの講演でお話ししたときには、
「電子メールというのは、封筒の絵がかいてあるから、みんな誤解するんですよ。原理的には、ハガキです。だれもハガキに請求書を書かないでしょ」
といったら、みなさん納得してくれました。電子メールのアイコンに封筒を使うのを禁止すべきだ、というのが、私の主張です。デザインの重要性(Legal Design Labo v. リーガル・デザイン・ラボ)という話をしましたが、この注意喚起だけで、何億もの損害が防げるのでしたら、安い対策費だとおもうのですが、いかがでしょうか。
(ちなみに、講演の案内でも、「暗号化しないpdfで、請求書を送っていたりしませんか、パスワードを次のメールで送っていませんか、」と注意していますよ)
それはさておき、お世話になっていますIPAさんでは、ちゃんと、「ビジネスメール詐欺「BEC」に関する事例と注意喚起~ サイバー情報共有イニシアティブ(J-CSIP)の活動より ~」という非常に良い報告書を公表しています。
しかも、対象者として、
「企業の経理・財務部門といった金銭管理を取り扱う部門の方
取引先と請求書などを通して金銭的なやりとりを行う方」
としています。ただ、結局、個人のリテラシーに頼るのは、無理かとおもいます。そうだとすると、口座の変更があった場合には、きちんと確認の仕組みを作るのが必要でしょうし、それを作っていなかったのは、どうなのか、という問題が起きてきそうです。というか、そもそも、限られた取引先については、クローズトな仕組みで請求を完結させるとかもありそうです。