【財務用語解説シリーズ】ビジネスメール詐欺 Part2 対策

ビジネスメール詐欺 Part1 事例と手口はこちら>>

4. 対策

 詐欺による不正な支払を抑止するには、①標的にされて業務の情報を盗み取られないようにすることと、②たとえ標的にされたとしても、支払う時に支払をとめることが必要です。いずれもITの対策だけでは不十分なため、担当者の判断と適切なアクションも重要になります。

 

標的にならないようにする

不正支払を止める

IT対策

《不正なメールが担当者に到達する前に防ぐ》

  • 送信ドメイン認証
  • 迷惑メール検知システム
  • ファイヤーウォール
  • メールの暗号化
  • セキュリティソフトの更新

《支払システムへの不正アクセスを防ぐ》

  • パスワードコントロール
  • IPフィルタリング
  • 二重認証
  • バーチャルキーボード

《正当な支払のみを承認する》

  • 支払承認ワークフローの標準化・二重承認化・STP化

《銀行へ正当な支払を証明する》

  • デジタル署名

《証跡を残す》

  • 例外支払への対応(追跡可能に)

非IT対策

《犯罪者に情報を与えない》

  • ソーシャルメディアとホームページの情報に注意

《担当者が不正メールの被害を防ぐ》

  • スパム削除
  • メールの転送

《不正な指示を見抜く》

  • 「秘密裏に頼む」「緊急」に注意
  • 重要な変更に注意(異例あるいは通常の手順を踏まない依頼に注意)
  • 顧客を知る

《正当な支払であることを確認する》

  • 二重確認(ダブルチェック)

 

このように整理すると、これらに対する対策は、①電子メールシステムを始めとする社内ITシステムへの対策、②支払システムへの対策、そして③支払手続きの見直し・整備とトレーニングの実施、の3つが必要であることが分かります。

 

4.1. 社内IT システムへの対策

 電子メールシステムを始めとする社内ITシステムへの対策としては、以下のようなものがあります。

①送信ドメイン認証、迷惑メール検知システムなどの、不正の疑いがあるメールをはじく機能

②ファイヤーウォール、メールの暗号化等の、メールを盗み見されないようにする仕掛け

③PCのセキュリティソフトを常時最新のものにして、担当者の端末で検知する仕掛け

 それぞれの詳細については本項では触れませんが、網羅的に説明したものとしては、IPA(情報処理推進機構)のウェブ・コンテンツである、「大企業・中堅企業の情報システムのセキュリティ対策 ~脅威と対策~」の分冊5、「電子メールシステムを利用するための運用上のセキュリティ対策」※1などがあります。

 

4.2.支払システムへの対策

(1)アプリケーションのセキュリティの改善

 財務システムへの不正アクセスを防ぎます。ログインやユーザー認証の脆弱な手続きが狙われるため、一般的に次のような対応を取ります。

①パスワードコントロール

 最低桁数を決めたり、英数字や特殊文字を含むパスワードにしたり、パスワードを複雑なものとしたうえで、定期的に変更させるという管理です。多くの企業で行われていると思われますが、パスワードの使いまわしが多いとされます。「使いまわし」とはパスワード変更時に元のパスワードの一部を変えて新しいパスワードとすることで、そのため頻繁なパスワード変更はかえって危険という議論もあるようです※2。従って、以下のような方法と組み合わせてユーザー認証を何段階か複数にすることが望ましいとされます。

②IPフィルタリング

 許可された拠点からのアクセスのみを認めるものです。事前にアクセス元のIPアドレスを登録しておきます。アクセスがあった場合、アクセス元のIPアドレスと登録されているIPアドレスとを照合して、未登録のIPアドレスからのアクセス、つまり認められていない拠点からのアクセスはログインさせないというものです。

 

③二重認証

 他に、2 段階認証プロセス、二要素認証、マルチファクタ認証などとも呼ばれます。

 IDとパスワードの他にもう一つの認証要素を加えて認証するものです。一般には次の3つのうち2つを組み合わせます。(ア)本人が知っているもの(Something You Know)で、パスワードや秘密の質問などが該当します。(イ)本人が持っているもの(Something You Have)で、携帯電話、ハードウェアトークン、乱数表などがこれです。(ウ)本人自身(Something You Are)で、生体認証になります。

 よく用いられている手段は以下のようなものがあります。

a. ハードウェアトークン

 セキュリティトークン、認証トークン、暗号トークンなどとも呼ばれます。

 キーホルダーのような大きさと形状のデバイスに、ログインの都度、一回限りのパスワード(ワンタイム・パスワード)が表示され、そのパスワードをログイン画面に入力すると認証が成立するものです。このパスワードはログイン回数や時刻をもとに一定のアルゴリズムで作成されるもので、トークン自体は、ネットワークやシステムに接続しておらず独立したものです。そのため、攻撃されたり、パスワードを盗み見されたりする恐れがありません。

b. SMS認証

 担当者の携帯電話にショートメッセージ(SMS)で、ワンタイム・パスワードを送る方法です。ハードウェアトークンに比べると、システムとネットワークにつながっている点で安全性が相対的に劣りますが、誰でも持っている携帯電話を使うためにコスト面で優れています。

c. IVR(自動音声応答)認証

 自動音声による通話で認証を行う方法です。担当者の携帯電話に自動発信を行い、自動音声でワンタイム・パスワードを通知します。逆に担当者の固定電話や携帯電話を登録しておき、その登録した電話からシステムに発信し、システムが自動応答で、ワンタイム・パスワードを通知する方法もあります。

 

④バーチャルキーボード

 ログイン画面の中にキーボード(バーチャルキーボード)が表示され、パスワードを手で入力するのではなく、バーチャルキーボード上の文字をマウスでクリックして入力するものです。これはキーロガーと呼ばれる、PCのキーボード操作を記録してパスワードを盗み出すソフトウェアに対抗するものです。

(図2)バーチャルキーボードの例



※2 ITPro「『パスワードの強制定期変更』は時代遅れ、企業に再考促す」 http://itpro.nikkeibp.co.jp/atcl/column/14/346926/031600480/, 2016年3月18日。この記事によると、パスワードの定期変更の徹底について、日本国内でも議論があったものの統一見解には至らなかったとあります。また、米国の調査によれば、パスワードの使いまわしとは具体的には、元のパスワードの文字の「S」を「$」に変えたり、最初と最後の数字や文字を入れ替えたり、パスワード変更月の数字を入れたりすることが多かったそうです。このような推測しやすいパスワードを作る人は、頻繁なパスワード変更をわずらわしいと感じる人が多く、従って頻繁なパスワード変更の強制は、セキュリティを高めるどころか逆効果になるという証拠が多いそうです。

(2)支払承認ワークフローの標準化・二重承認化・STP化

 多くの企業では支払の申請から承認までのプロセスは標準化され、ワークフローのシステムが導入されていますが、以下のような観点で改善の余地はないか再確認の価値はあると思われます。

①標準化

 プロセスの標準化はなされているとはいえ、国や銀行によって支払の手順が異なっていると、狙われやすくなります。滅多に発生しない支払手順によって実行される支払依頼が来た時に、日ごろのプロセスとは違うために、過誤による誤承認を誘発しかねません。

②二重承認化

 多くの企業では、支払の申請と承認は別々になされるような支払の規定とワークフローになっていますが、上位者になると金額によっては申請と承認が同一人物になっていることもあります。現在の承認ルールをむやみに逆行させて承認を何重にもするということではありません。統制と効率は相反する面がありますから、どこかでバランスをとらないといけません。不正リスクの観点から現状に即して定期的に見直すのがよいと考えられます。

③STP化

 STP化(ストレートスループロセッシング化)とは、プロセスの最初から最後まで人手を介さないようにすることです。すなわち、支払のワークフローの外で支払を行うことをできなくすることです。多くの企業では支払の申請から承認までは支払システムで統制のとれた環境で行われていますが、銀行に支払指図を送る部分は分断されていることが多々見られます。

 国内企業でいえば、ERPで支払承認まで行い、ERPシステムから銀行への支払指図ファイルを手動でダウンロードし、財務担当者が自己のPCから、銀行のインターネットバンキングのポータルに支払指図ファイルを手動でアップロードしたり、パソコンバンクソフトから銀行のファームバンキング・サービスを使って手動で支払ファイルを送信しているといった事例が数多く見られます。

 支払の承認と支払の実行(支払指図ファイルの銀行宛送信)が分断されていることが問題です。送信は手動なので、担当者が振込先や金額を書き換えられます。ファームバンキングでの不正は、伝統的な不正の一つです。

 また最近では電話回線が乗っ取られるケースも出てきましたので、一般公衆電話網または総合デジタル通信網(ISDN)によるダイヤルアップ接続によるファームバンキング接続のリスクは益々高くなっています。

 支払を承認するシステムと銀行へ支払指図のファイルを送信するシステムは自動連係させるか、ひとつに統合されたものとし、システムと銀行間の通信のセキュリティを強固なものにしておくことが必須です。

(3)デジタル署名

デジタル署名とは、送信されるメッセージを秘密鍵で暗号化し、メッセージの完全性と作成者の認証、すなわち、データの送信元が正しく、送信途中にデータが改竄されていないことを確認する技術のことです。受信者は予め送信者の鍵(公開鍵)を入手しておき、暗号化して送られてきたデータをその鍵で復号するものです。これにより取引銀行に対して当該支払指図が正当なものであることを示し、銀行は遅滞なくその指図を処理できるということです。

 銀行へ支払指図ファイルを送信するシステムが取引銀行のデジタル署名に対応している必要があります。

◎3SKey

 グローバルで財務管理をするうえで有効なデジタル署名の一つが、SWIFTが提供している3SKeyです。多くの企業では、グローバル全体では数十から数百の取引銀行があり、それぞれにハードウェアトークンがあります。本社の財務担当者は、取引銀行の数だけキーホルダーのような装置を持ち、机の引き出しや箱などに入れて管理しています。3Skeyは、マルチバンク、マルチネットワーク対応のデジタル署名ソリューションで、写真の通り、USBメモリのような形状と大きさをしています。3SKeyに対応している銀行であれば、どの銀行に対してもこれ一つでデジタル署名をすることができますので、担当者は数多くのトークンを管理する負担から解放されます。送金をする際に、その銀行のトークンを引き出しや箱から探す煩わしさと保管スペースが不要になります。さらに、多くのトークンを保有していると、あまり使わないトークンが一つ盗まれても気づきにくいですが、トークンが一つであればその心配はなくなります。

(図3)3SKey

(SWIFT社ホームページより)

 

(4)例外支払への対応(追跡可能にする)

どの企業でも通常の支払プロセスで対応できない例外的な支払があります。本来的には例外処理はあってはなりませんが、現実的には費用面でシステム対応できず、都度手作業で対応せざるをえないこともあります。実際に例外処理は「内部統制の限界」とされており※3、したがって最も狙われやすい部分です。

 クラウド型財務管理システム等の業務処理の設定が容易なツールを用いて、極力例外支払処理もシステムに設定して、システムを通すようにすべきですし、それが難しければ、例外処理の一部でもシステムを通し、例外を行ったことがわかるようにしておくべきです。

 

4.3. 支払手続きの見直し・整備とトレーニングの実施

支払手続きについては、前項の支払ワークフローについての説明に譲りますが、特に、

㋐「極秘で頼む」「緊急」というような指図や

㋑送金先の変更など、支払にかかる重要な要素の変更

を直ちにおかしいと思えるような状況をいかに作れるかが鍵です。㋐についてはA社の担当者は、M&Aならば極秘でもおかしくないと判断してしまいました。㋑については、B社の担当者はそのメールに書かれた背景説明や添付資料から、正当な送金先変更指示と受け取りました。

 対策としては、以下のようなものが考えられます。

①具体的なトレーニングの定期的な実施

 この種類の詐欺は、担当者の判断ミスを誘うものですから、通り一遍のトレーニングでは難しそうです。手口と事例を盛り込んだ具体的なトレーニングを定期的に繰り返し履修させ、担当者の意識に刷り込ませることが重要ではないでしょうか。

②業務マニュアルの更新

 緊急な指示や送金先などの変更などについては、必ず指示者に電話などメール以外の方法で確認をとること、確認が取れない場合は振り込んではならず、それは担当者の責任ではないことをマニュアルに記述することも必要かもしれません。

 いくら極秘の買収案件とはいえ、被指示者が指示者に連絡がとれないという状況下での指図はそもそもおかしいです。担当者の心理としては、「念のために確認したいが、連絡がつかない。でも振り込まなかったことによって会社や相手に迷惑をかけたらまずいから振り込んでおこう」というものでしょう。担当者にそのような配慮をさせないよう、明文化は必要と思われます。

 指示者に確認する際、メールに書いてある電話番号に電話をするのではなく、自分のアドレス帳などで電話番号を別途確認してかけること、などを注意事項として徹底させる必要があります。

③顧客を知る

 日ごろから相手のビジネスモデル、取引銀行関係などを詳しく把握していれば、相手から送金に関する変更の連絡を受け取ったときに、なぜ今になってその変更をするのか、疑問に思えることもあるでしょう。

 とはいえ、犯罪者は担当者の判断の錯誤を誘発するように仕掛けてきますので、上記の方法だけでは不十分です。D社のように月に2回の抜き打ちチェックをしていても被害に遭ったわけですので、絶えずにできることを繰り返し、適宜修正しながら地道に続けていくことにつきると言えそうです。



※3 内部統制の基準「財務報告に係る内部統制の評価及び監査の基準のあり方について(平成17年12月8日、企業会計審議会内部統制部会)では、4つの内部統制の限界が挙げられており、その一つに「内部統制は、当初想定していなかった組織内外の環境の変化や非定型的取引等には、必ずしも対応しない場合がある。」とあります。
 

ビジネスメール詐欺 Part1 事例と手口はこちら>>