加賀電子工業は3/19、「当社米国子会社における資金流出事案について」を公表しました。悪意ある第三者による虚偽の送金指示に基づき資金を流出させる事態が発生したとのこと。弁護士等による対策チームを編成し、既に現地の捜査機関に届け出ているようです。
ビジネスメール詐欺
事案の発生は今年2月。損失見込み額は最大で5億円といいます。捜査上の機密保持のため、現時点ではこれ以上の詳細情報は控えるとしています。このところあまり聞かなかったBEC(ビジネスメール詐欺)の被害にあった、と思われます。
BEC(Business E-mail Compromise)は、業務用メールを盗み見して経営幹部や取引先になりすまし、従業員をだまして偽口座に送金させ資金を詐取するというサイバー攻撃の一種です。2017年12月にJALが3億8,000万円の被害に遭いました。
ビジネスメール詐欺は、「経営幹部になりすます方法」と「取引先になりすます方法」の2つのタイプに分類されます。JALのケースは取引先になりすましていました。攻撃者が送信する(送金指示)メールの信憑性を高めるために、事前に業務用のメールを盗み見して準備します。
最終的には攻撃者が用意した口座に送金を指示しますので、取引先になりすましたうえで、それまで使用していた口座とは違う偽口座を指定してきます。ここが重要です。振込先口座の変更依頼があったときに、メール以外の方法でその変更依頼の信憑性を確認することですね。
加賀電子は
とまぁ、情報がない中でありそうな想定を書きましたが、同社の開示の中には「資金流出後まもなく、指示が虚偽であることに気付き、犯罪に巻き込まれた可能性が高いと判断し」とあります。ビジネスメール詐欺に違いないと思うのですが。。。