フィッシングはサイバー犯罪者が好んで使用する攻撃手法だ。サイバー犯罪者はフィッシングによって、デジタルの世界でユーザーをだます。デジタル詐欺師たちはフィッシングで入手した情報を使って何をするのか、という問題が論じられることはあまりない。そうしたデジタル犯罪の中で最も大きな利益を生むものの1つが電信送金詐欺だ。
電信送金とは
MySecurityAwareness.comによると、電信送金はほぼリアルタイムの銀行間取引で、利用者が自分の口座から他者の口座に直接お金を移動することを可能にするという。さらに、 「電信送金が行われると、双方の口座名義人とそれぞれの口座の金額が検証される」とMySecurityAwareness.comは付け加える。
電信送金詐欺とは
電信送金詐欺は、企業の従業員が詐欺師にだまされて、彼らの管理する銀行口座に送金してしまったときに成立する。このUnited Bankのセキュリティ告知では、「彼ら(デジタル詐欺師)は標的の従業員や企業に特有の言葉を使用し、その顧客との通常の取引範囲内の金額を送金するよう不正に要請する。サイバー犯罪者はフィッシング電子メールを使用した後、電信送金を承認する個人と電子メール送信者の間の信頼関係を利用する」と説明されている。
電信送金詐欺は電信送金を行う企業や組織に限定されたものではなく、誰でもこの種のサイバー犯罪の犠牲になる可能性があるので、それを防ぐためにあらゆる予防策を講じるべきだ、と同セキュリティ告知は警告している。
大きな利益を生んだ事例
適切な状況下では、デジタル詐欺師はフィッシングで入手した情報だけで、攻撃対象の企業と契約している会社になりすますことができる。その情報だけでは不十分な場合、攻撃者は詐取した情報を使って企業のコンピュータにアクセスし、適切な機密財務データを盗む。企業が請求金額を支払う方法、定期的に送金する相手、未払いの有無を把握した攻撃者は、新しい送金方法(詐欺師の銀行口座への送金方法を含む)の指示を含む偽のインボイスを捏造することができる。
利益を得るのに大変な手間がかかるように思えるかもしれないが、実際に大きな被害が発生しており、米連邦捜査局(FBI)が「Operation WireWire」(WireWire作戦)で関与する必要があったほどだ。FBIの2018年6月のプレスリリースには、「この作戦により、240万ドル近くを押収し、約1400万ドルの不正電信送金を妨害して取り戻した」と書かれている。「これらの事件が被害者と被害企業に与えた壊滅的な打撃は、個々の企業だけでなく世界経済にも影響を及ぼしている。米インターネット犯罪苦情センター(IC3)がビジネスメール詐欺(BEC)とその変種であるメールアカウント侵害(EAC)の追跡を正式に開始して以来、37億ドル以上の損失が同センターに報告されている」(同プレスリリース)
電信送金詐欺の影響
電信送金は即座に完了する決済方法である、とWells Fargoのセキュリティ専門家は指摘する。詐欺師にお金が渡ったら、電信送金を元に戻すことはできない。United Bankのセキュリティ告知の執筆者らは、金銭的被害のほかにも損失があることを示唆している。
- 企業の評判が傷つく可能性。
- 従業員が損害を回復し、詐欺行為を当局に通報するのに必要な時間。
電信送金詐欺を防止するためのヒント
United Bankのセキュリティ告知の執筆者らは、自分自身と雇用主が不正な送金要請の被害者になるのを防ぐために、企業の従業員が知っておくべき以下のヒントを提示している。
- 相手の電子メールがハッキングされている場合に備えて、知っている相手からの電子メールの要請でも電話や対面で確認する。
- 電子メールのみによる送金要請や緊急性を伴う要請に警戒する。
- 企業の銀行口座を毎日監視する。
- 電信送金詐欺の疑いがある場合は、ただちに関連する金融機関や地元の警察に連絡する。
- 電信送金に含まれる情報を確認する。1つの入力ミスがあるだけで、そのお金はほかの人間や企業に送られてしまう。
次は企業向けのヒントだ。
- 従業員が電信送金などの銀行業務に関する自社の方針と手順を理解し実践していることを確認する。
- 従業員意識向上プログラムを実施する。
- 企業は入金と出金の手続きを確立すべきだ。
- 可能であれば、すべての電信送金要請について、社内で2段階目の認証手段を義務化する。
- 詐欺がいつ発生し、どのように実行されるのかを従業員が理解していることを確認し、今後も警戒を続ける動機を与える。
- 企業は自社の規模を反映したITインフラストラクチャとセキュリティの精査に投資すべきだ。
最後に検討すべきこと
電信送金は即座に完了する決済方法である、ということは何度指摘しても十分でないほど重要だ。詐欺師にお金が渡ったら、電信送金を元に戻すことはできない。たとえその小切手が不正なものであってもだ。
違法行為の疑いがある場合は、地元の法執行機関や金融機関だけでなく、米国においては米連邦取引委員会(FTC)(FTC Complaint Assistant、または1-877-FTC-HELP)にも連絡しよう。
提供:weerapatkiatdumrong, Getty Images/iStockphoto
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。