偽メールにだまされ、3億8000万円ものお金を失ってしまった日本航空。まさに“企業版オレオレ詐欺”とも言うべきものですが、やりとりをほぼ“完コピ”したメールを見抜くのは、皆さんの想像をはるかに上回る難しさなのです。
年の瀬の忙しいタイミングを見計らったのか、震え上がるような事件が起こりました。日本航空(JAL)が「偽メールにだまされ」、3億8000万円もの被害を受けたというニュースです。
この問題は本当に深刻なもので、セキュリティ業界では「ついに日本でも起きたか」という受け止め方が一般的です。ついうっかりというレベルの話ではなく、「ダブルチェックなどを徹底している、日本航空ほどの企業ですらだまされてしまう」と受け止めるべきでしょう。この魔の手は、あなたのすぐ近くにまで来ているのです。
今回のような事件の背景には、ビジネスの中でやりとりされるメールを使った「ビジネスメール詐欺」(BECとも呼ばれる)があります。ビジネスメール詐欺とは私たちがよく受け取るような「サングラス激安!」という単純なものではなく、あらかじめ企業のネットワーク内に侵入し、やりとりされるメールの内容や宛先を研究し尽くした上で、取引に関するメールがやりとりされた瞬間に送られる「詐欺メール」です。
もちろん、文面はネイティブな日本語を使っている上に、内容によっては書き手のクセなどもきっちりコピーしてきます。特に今回のケースでは、メールアドレスも「本物と見分けがつかない状態だった」(JAL広報部)とのこと。忙しい時に、この“ほぼ完全コピー”の詐欺メールを“偽物”だと判断できるでしょうか? 正直に言って、私には自信がありません。
※JALへの取材をもとに、一部内容を変更いたしました。(12/26 13:40)
今回は取引において「振込先を変更する」ことがトリガーとなり、偽の口座情報にまんまとだまされてしまいました。NHKニュースによると、サインなども記されていたとのことです。その概略や具体的な手法は、まだ明らかになっていなかったものの、既に海外ではビジネスメール詐欺における被害が報告されており、遅かれ早かれ、日本でも甚大な被害が出るだろうと予期されていました。
ビジネスメール詐欺は、これまでの迷惑メールとは比べものにならないレベルで、サイバーとも言い切れない直球の“詐欺”を行うものです。決して「だまされた人の注意力が足りないから起きる」わけではありません。先日取り上げた講演でも述べられていましたが、「事故を起こした人を責めない」ことが重要なのだと思います。
Copyright © ITmedia, Inc. All Rights Reserved.