ビジネスメール詐欺の脅威が増大しています。AFP(Association for Financial Professionals)の調査1によると、2017年にビジネスメール詐欺を経験した企業は77%と史上最悪の水準を記録しています。一件あたりの被害も高額化しており、2016年には 4000万ユーロ(約46億円)を詐取された事件も発生しています。深刻な問題は、多くの企業が行なっている支払業務プロセスでは、ビジネスメール詐欺を未然に防ぐことが難しい点にあります。
本記事では、既存の支払業務が抱える脆弱性とビジネスメール詐欺から企業価値を守るための真に実効的なソリューションを紹介します。
1. ビジネスメール詐欺とは
ビジネスメール詐欺は、別名「CEO詐欺」とも呼ばれる詐欺で、わかりやすく表現すると「ビジネス版ふり込め詐欺」です。このビジネスメール詐欺について、独立行政法人情報処理推進機構(IPA)は次のように定義しています。
「ビジネスメール詐欺(Business E-mail Compromise:BEC)とは、巧妙に細工した メールのやりとりにより、企業の担当者を騙し、攻撃者の用意した口座へ送金させる 詐欺の手口です。」
上述の通り、その最大の特徴は「巧妙さ」です。攻撃者は、支払担当者を通常の支払プロセスから逸脱させるために、本社CEOなどの権威のある人物を装って、緊急に送金することを要請します。また、この要請に真実味を持たせるために、攻撃者はCEOや担当者の普段のメールを事前に盗聴し、一目ではCEOのものと区別のつかないメールアドレスを用意し、署名や文体を真似、CEOでなければ知り得ないような情報(予定しているM&Aなど)を織り交ぜてメール文面を作成します。
手口が巧妙で防ぐことが困難であることから、被害は多発しています。以下はビジネスメール詐欺の代表的な事例です。
A. 海外企業の事例
2016年8月、ドイツの製造大手であるLEONI社は、ビジネスメール詐欺により4000万ユーロ(約46億円)を詐取されました。本事件が報道されると同社の株価は7%下落。企業価値は大きく棄損されました。
B. 日本企業の事例
日本においても、国内大手の航空会社が2017年8月から9月にかけて2件のビジネスメール詐欺により計3.8億円を詐取されています。
これらの事件で注目が集まったのも「巧妙さ」です。実際、私が商談でお会いする財務・経理担当者の多くが「自社がターゲットになった場合に防ぐことは難しい」とコメントしています。
一方で、ビジネスメール詐欺を差し迫った危機と感じていない方もいらっしゃいました。理由をお尋ねした時に返ってくるコメントの多くは「きちんと不正支払対策を講じているから」というものです。確かに、不正支払対策のソリューションは数多くあります。では、そうしたソリューションを使うことでビジネスメール詐欺は防げるのでしょうか?
2. 既存のソリューションとその限界
結論からいうと、既存のソリューションではビジネスメール詐欺を「未然」に防ぐことはできません。代表的な不正支払対策ソリューションとその限界を表1に示します。
表1 既存の不正支払対策ソリューションの特徴と限界
また、上記のソリューションが適用されていたとしても、適用範囲は本社のみであり、子会社のリスクが忘れられていることが多い点も指摘する必要があります。ビジネスメール詐欺の被害の多くが海外子会社で発生していることを考えると、これは致命的な見落としと言えます。
いずれにせよ、既存のソリューションに限界がある以上、ビジネスメール詐欺を防ぐためには、真に実効的なソリューションが必要となります。では、どのようなソリューションが必要となるのでしょうか?
3. 真に実効的なソリューション
真に有効なソリューションが備えるべき要件は「全ての支払を、自動的に、そして送金前に検知・ブロックできること」です。そのためには、例外支払を最小化する必要があります。具体的には、マルチERP接続および海外地場銀行も含めたマルチバンク接続による支払STP化の実現をベースに、その結節点にて不正を自動検知する仕組みが必須です。図1はその実現イメージです。
図1 真に実効的なソリューション概要
ここで重要なポイントは、例外処理を最小化するために、結節点に集約するERPと銀行の数を最大化することです。
キリバは本要件を完全に満たしたソリューションを提供できる唯一のベンダーです。キリバの支払ソリューションは、グローバルNo.1のマルチERP・マルチバンク接続実績の強みを活かして支払業務の集約を最大化した上で、業界初となるリアルタイム不正検知モジュールによりビジネスメール詐欺を含む不正を未然に防ぎます。
4. 企業価値の番人として取るべきアクション
最後に本記事の重要ポイントをまとめます。
1. ビジネスメール詐欺の被害は増加している
2. ビジネスメール詐欺は企業価値を大きく毀損する
3. ビジネスメール詐欺を未然に防ぐことは難しい
4. ビジネスメール詐欺を未然に防ぐことのできるソリューションは存在する
実効的なソリューションが存在しなかった時代であれば、ビジネスメール詐欺の脅威に対して祈ることしかできませんでした。しかし、現在はソリューションが存在し、適切なアクションを講じることで企業価値を守ることが可能です。逆に言えば、祈るだけで許される時代は終わり、企業価値の番人としての責務を求められる時代が到来したことを意味しています。
財務部門としての責務を果たすために、次のアクションを取ることをお勧めします。
1. リスクを正しく把握する:各種統計データを利用して自社の潜在的脅威を金額換算(期待値計算)する
2. 正しいソリューションを選択する:未然に防ぐことのできるソリューションを選択する
3. ビジネスケースを作成する:ソリューションの導入に向けた稟議資料を作成する
キリバは、ソリューションの提供だけでなく、定量・定性効果を含むビジネスケース(企画・稟議資料)の作成を支援することが可能です。ビジネスメール詐欺の脅威から企業価値を守るために、是非最初の一歩を踏み出してください。
5.関連資料
支払業務における不正に対処する上で CFOが抱える5つの課題
不正リスクを低減するためのCFO向けガイド
不正行為が記録的な数に:財務部門が今すぐ行動すべき理由
キリバ・ジャパン株式会社 プリセールスコンサルタント 長瀬 大
FinTech業界において10年以上の経験を有する。前職では銀行・証券会社を主な顧客とする数多くの金融取引システムの提案・導入に従事。FISC基準を満たす高セキュリティのシステム設計などを担当。2015年よりキリバ・ジャパンに所属。プリセースルコンサルタントとして、クラウド型財務ソリューションに関する提案・製品デモンストレーション・セミナー講演に従事している。情報セキュリティスペシャリスト。
日本語
