「11億円を自ら振り込んだ」エンジニア集団の悲劇 はてなを襲った巨額詐欺、IT企業の意外な盲点

[大杉春子，ITmedia]

著者紹介：大杉春子（おおすぎ・はるこ）

レイザー代表取締役／RCIJ代表理事

コミュニケーション戦略アドバイザーとしてPR戦略の企画から危機管理広報まで、企業・行政のブランド価値向上を包括的に支援。

日本において唯一、コミュニケーション戦略におけるリスク管理に特化したカリキュラムを展開する日本リスクコミュニケーション協会（RCIJ）を2020年に設立。

上場企業や防衛省での豊富な実績を持つ。

　「あの技術力に定評のある『はてな』が、なぜ――」

　4月24日、東証グロース上場のはてなが発表したニュースは、IT業界のみならず日本の経営層に激震を走らせた。悪意ある第三者からの「虚偽の送金指示」に従い、最大約11億円という巨額の資金を外部口座へ送金してしまったというのだ。

　事案が発生したのは4月20日と21日のわずか2日間。発表直後、筆者が参加したある経営者たちの会食でもこの話題が挙がった。「正直な話、どの会社でも起きると思った」――その場にいた一人が漏らした言葉に、皆が頷いていた。

　ブログや開発者向けサービスで知られる「はてな」は、長年日本のネット文化を技術で支えてきた企業だ。その同社が、古くからある「ビジネスメール詐欺」（BEC）に起因するとみられる資金流出の被害を受けた。株式市場の反応は冷淡だった。ストップ安という結果は、投資家がこの事案を「経営の根幹を揺るがす問題」と受け止めたことを如実に示している。

　その会食の席で意識の高い経営者は「翌日すぐ顧問先に送金フローを見直すよう連絡した」と話していた。

　つまり、これは「あの会社が特別に脇が甘かった話」ではない。どの業種の、どの規模の会社でも起こり得るリスクだ。

はてなの事件は、どの規模の会社でも起こり得るリスクだ（写真提供：ゲッティイメージズ）

「技術に強い」会社が陥った盲点

　今回の事案で、注目したいのは被害の構造だ。

　適時開示には「当社の従業員のアカウントより、当社の銀行預金口座から外部の口座への送金が実行された」とある。つまり、外部からシステムに不正侵入されたわけではない。悪意ある第三者から虚偽の送金指示を受けた従業員が、自らの手で送金操作を実行したのだ。

　IT企業は、Webサービスの脆弱（ぜいじゃく）性やサーバへの不正アクセスに対して、非常に高い水準のセキュリティを構築している。多要素認証も、チーム全体で暗黙知を共有する「コードレビュー」も当たり前だ。ところが「お金を動かすプロセス」については、驚くほどアナログで、属人的な運用が残っている場合も多い。

　エンジニアリングには「バグを許さない」文化がある。しかしバックオフィスのワークフローには、その厳しさが及んでいない場合がある。デジタルサービスを事業の核とする企業が、内部統制においては意外なほど古典的な弱点を抱えているのだ。そのギャップが、今回の被害を生んだと考える。

「IT企業に広報は不要」という致命的な誤解

　危機管理広報の仕事をしていると「うちはIT会社だから、コミュニケーション戦略とかは関係ない」という言葉に、時々出合う。広報担当者がいないか、いても手薄なIT企業に多い反応だ。

　しかし、それは大きな誤解だと考える。

　確かに、「コミュニケーション戦略」と聞くと、メディア向けのプレスリリースや、記者会見での立ち居振る舞いを思い浮かべるかもしれない。しかし筆者が伝えたいのは、もっと広い意味でのコミュニケーションだ。あらゆるリスクが表面化したとき、企業は必ず「誰かに何かを伝える」という局面に立たされる。そのとき、どこに、何を、どの順番で、どんな言葉で伝えるか――それがコミュニケーション戦略の本質だ。

　今回のはてなのケースで言えば、伝えるべき相手は一人ではない。株主・投資家、取引先、従業員、銀行をはじめとする金融機関、そして捜査機関3それぞれに対して、適切なタイミングで、適切な内容を届けなければならない。

　実際、はてなの適時開示を読むと、発生から3日後の4月24日という開示のタイミング、個人情報漏えいの有無の明示、運転資金の流動性への言及など、一定の配慮は見受けられる。それでも株価はストップ安となった。情報開示の内容そのものより「この会社はこの先どうなるのか」「経営への影響はどの程度か」という問いに、市場が十分な答えを見いだせなかったからではないだろうか。

内部統制とは「組織内の血流」を設計すること

　クライアント企業に繰り返しお伝えしていることがある。「リスク管理の設計段階から、コミュニケーションをセットで考えてほしい」ということだ。

　例えば、送金フローの内部統制を整備するとき。「どういうケースで、誰が、誰に報告するか」を決めることは、実はコミュニケーション設計そのものだ。一定金額以上の送金が発生したとき、財務責任者だけでなく代表取締役にも即時通知が届く仕組みを作る。それは単なるセキュリティ強化ではなく、異常を「組織として検知・共有する」ためのコミュニケーション設計だ。

　あるいは、万が一被害が発生したときの対応フローも同じだ。誰が対策本部の責任者になるか。外部専門家（弁護士や危機管理の専門家）にはいつ連絡するか。取引銀行へは誰が連絡するのか。捜査機関への相談と並行して、いつの時点で開示するか。これらをあらかじめ決めておくことが、実際に事案が発生したときの「初動の速さ」と「対外メッセージの整合性」を大きく左右する。

　はてなは今回、「代表取締役を中心とする対策本部の設置」「外部専門家による事実関係の調査」「捜査機関への全面協力」という対応を取った。いずれも適切なステップではある。ただ、それが「あらかじめ決まっていた対応フローに従ったのか」「その場その場で判断したのか」では、組織としての負荷が全く異なる。

BEC詐欺が突くのは「システムの隙」ではなく「人の隙」

　話を冒頭に戻そう。会食で経営者たちが「やらかしそう」と言ったあの反応は、おそらく正直な本音だと思う。

　ビジネスメール詐欺は、特別なシステムの脆弱性を突くものではない。人間の判断の隙を突く。「急いでほしい」「この件は内密に」「いつもの手順を今回は省いて」。こういった言葉で、普段は慎重な担当者も動いてしまうことがある。IT企業のエンジニアが「ゼロトラスト」（何も信じない）の精神でシステムを設計するように、バックオフィスの業務フローにも「指示の真偽を確認する仕組み」を埋め込む必要がある。

　ただ、仕組みを整えるだけでは足りない。「何かおかしいと思ったら、上に相談していい」という組織文化と、それを支えるコミュニケーションの風土が必要だ。

　内部統制と、組織内のオープンなコミュニケーション。この2つは、表裏一体だ。

「IT部門の問題」で片付けてはいけない

　はてなの11億円流出事案は、IT業界への警鐘でもあると同時に、全ての企業への問いかけでもある。

　「自社の送金フローに、本当に複数人の目が入っているか」「異常を感知したとき、誰が誰にどう伝えるか、決まっているか」「もし今日、同じことが起きたとして、自分たちは何時間後に対策本部を立ち上げられるか」

　リスクが表面化したとき、企業の対応力を支えるのは、結局のところ「コミュニケーションの設計」だと考える。メディア向けの広報という狭い意味ではなく、株主・投資家・従業員・取引先・金融機関・捜査機関――あらゆるステークホルダーとの情報共有の在り方そのものだ。

　「IT部門の問題ではない」と言いたいのではない。IT部門だけでは止められない問題だ、と言いたいのだ。テクノロジーと人と組織のあいだに張り巡らせる、コミュニケーションの網。それを今、もう一度点検してほしい。

リスクが表面化したとき、企業の対応力を支えるのは、結局のところ「コミュニケーションの設計」だ（写真提供：ゲッティイメージズ）