2018年04月24日
ビジネスメール詐欺拡大、対策に不安も
セキュリティ・コラム by MM総研所長 中島洋
取引先や社内の上司を装った偽のメールで送金の指示をし、お金をだまし取る「ビジネスメール詐欺」がますます猛威をふるっているようだ。だまされないための社員訓練が必要なのはもちろん、「ウチはサイバー保険に入っているから大丈夫」と二重の策を講じたと安心している向きもあるようだが、新たに注意を喚起しなければならないのは、だまし取られたお金については損害保険がきかないらしいという、報道もあることだ。
日本経済新聞の3月29日の記事によると、ビジネスメール詐欺の代表例として参照される17年12月に日本航空が3億5000万円近くをだまし取られた事件について、大手損害保険会社の担当者は、「わが社の保険ではカバーできない」と述べている。「他社でも難しいだろう」ともいう。つまりビジネスメール詐欺によってだまし取られた損害はサイバー保険の「適用外」との認識である。
同記事ではカナダの家具販売ブリックのビジネスメール詐欺事件も例に挙げている。この事件は偽メールによって約22万ドルをだまし取られたものである。ブリック社がサイバー保険契約していた保険会社は申請に対して保険金の支払いを拒んだ。ブリック社は訴訟を起こしたが、カナダ・アルバータ州の最高裁は「補償対象外」との判決を出したという。米国でも同様の訴訟の多くは保険会社が勝つ結果となっているそうだ。
サイバー保険が有効でない理由もはっきりしている。サイバー保険の適用対象はサイバー攻撃そのものによる直接的被害である。この点、偽メールがきっかけになったとはいえ、メールそのものによる被害ではない。そのメールの内容をみて、従業員が判断して金銭を振り込むという行為が被害の直接的原因である。偽メールは間接的な原因に過ぎない。また、サイバー攻撃という点から見れば、金銭を振り込む、というのは副次的な被害でしかない。
こうした詐欺が行われる前提条件は、取引先とのメールのやり取りや上司の送金指示のメールのやり取りの情報が流出したことである。また担当者や上司、取引先担当者のメールアドレスなどのデータが犯人側に入手されているのも原因だ。 メールアドレスやメールのやり取りなどの個人情報、ビジネス情報を盗まれないように管理しておくことが最低限、必要なことである。従業員のメールアドレスなどの個人情報が盗まれる、というのは、それは直接的な経済被害ではないが、巧妙に攻撃を仕掛けてくる犯罪集団の手にかかると、大きな被害の足掛かりを与えてしまうことになる。
企業にとっても経営幹部や従業員の個人情報を厳重に管理することが重要である。