かねて国内で小規模な被害が報告されてきたビジネスメール詐欺で、ついに大規模被害が発生した。日本航空の被害額は計３億8400万円。詐欺師は取引先とのメールをハッキングし、支払い手順を学んだうえで犯行に及ぶ。取引先を含むサプライチェーン全体での対策が求められている。

　「振込先は変更していません」。10月７日、日航は取引のある海外の金融機関とのやり取りの中で航空機のリース料の払込先が変わっていないことを知った。「８日前に支払ったはずだが」。担当者が確認すると電子メールで新たな入金先を通告する請求書が届いており、指定された香港の銀行口座に３億6000万円を送金していた。

　よく見ると発信元のメールアドレスが普段と１字違う。詐欺と気づいたときは口座から全額が引き出されていた。複数人で送金をチェックしたが詐欺と見抜けなかった。

　メール添付の請求書は本物に酷似し、支払い期日も迫っていた。支払わないと航空機が使用できなくなる恐れがあることも送金を急がせた。米国の貨物事務所で８〜９月に同様の手口で計2400万円をだまし取られたことも判明した。

　ビジネスメール詐欺と呼ばれるサイバー犯罪は近年、世界的に増えている。米インターネット犯罪苦情センターによると2013年10月〜16年12月に世界で発生した件数は４万件に上り、被害総額は53億ドル（約6000億円）に達する。

　特に欧州で巨額の被害が相次ぐ。16年１月にオーストリアの航空部品メーカーＦＡＣＣが4200万ユーロ（約57億円）をだまし取られたことが発覚し独自動車用電線大手のレオニは同年８月に4000万ユーロを詐取された。

　日本の情報セキュリティー会社はかねて警戒を呼びかけていたが数百万〜数千万円規模の被害は頻発していた。トレンドマイクロが国内法人のセキュリティー担当1361人に実施したアンケートでは16年に13％が詐欺メールを受信している。

　そして今回、国内で確認できた中で最大級の被害が日航で発生した。支払いを促す本物そっくりのメールを、実際に支払いが発生しそうなタイミングを見計らって送りつける典型的なやり口だ。

　17年10月にはスカイマークも取引先から200万円の支払いを求める偽メールを受け取った。担当者が怪しいと気づき被害に至らなかったが発信元のメールアドレスは実在の取引先と一致した。メールアカウントが乗っ取られた可能性が高い。

　「取引先など周辺に存在する抜け穴を探して攻撃の糸口にしている」。情報セキュリティー会社Ｓ＆Ｊの三輪信雄社長は解説する。取引先の対策が甘ければ自社の防御が強固でも管理を委託した顧客名簿や設計図が流出したり取引先経由でシステムに侵入を許したりする事態になりかねない。

　17年４月に発覚したプロバスケットボール・Ｂリーグのチケットサイトなどからの個人情報流出ではチケット販売のぴあにサイト運営を委託し、ぴあが再委託したソフト開発会社が狙われた。

　取引先から流出したメールアドレスや本物そっくりの請求書が使われれば詐欺を見抜くのは難しい。取引先の対策状況を把握し、不十分なら改善を求めるなどサプライチェーン全体でのセキュリティー水準の底上げが必要になっている。（吉野次郎、志賀優一）

nikkei.com（2017-12-22)