2024.11.15

「不正送金」

サイバーセキュリティの基本を理解するためには、いくつか重要なセキュリティ用語を知っておくことが必要です。これらの言葉や概念を正確に理解することで、企業が直面するリスクを最小限に抑え、適切な対策を講じることができます。本記事では、中小企業が特に知っておくべきセキュリティ用語について解説しています。

今回のテーマは、「不正送金」です。

不正送金とは

「不正送金」とは、本人の意思に反して、銀行口座から資金が不正に引き出される行為を指します。

昔からある犯罪であり、高齢者を狙った電話での詐欺（いわゆる「オレオレ詐欺」）で銀行から特定口座に振り込ませるものや、経理担当者が自分の口座に会社の資金を振り込む内部不正のケースも「不正送金」に当たります。

今回はサイバーセキュリティに関するものとして、インターネットバンキングとビジネスメール詐欺について詳しく解説します。

インターネットバンキングでの不正送金

インターネットバンキングでの不正送金は、利用者のIDとパスワード等を窃取、もしくは乗っ取ること(以下アカウント乗っ取りと略す)により実行されます。

アカウント乗っ取りの主な手段は、フィッシング（本記事＃7「フィッシングとSNS乗っ取り」で解説）が多くなっています。

そのほかにも、次のような手口もあり、組み合わせて使われる場合もあります。

【手口１】専用マルウェア（本記事#6「マルウェア・ランサムウェア」で解説）：アカウント情報を盗み出す、ユーザーのキー入力を送信するなどアカウント乗っ取り専用のマルウェア

【手口２】標的型メール：相手を特定して送るフィッシングメール

インターネットバンキングでの不正送金は急増しています。

警察庁報告書「令和５年におけるサイバー空間をめぐる脅威の情勢等について」では、令和5年の状況について次のようにまとめています。

被害件数・金額は5,578件・87.3億円と過去最多で、令和4年（被害1,136件・15.2億円）に比べて件数で4.9倍、金額で5.7倍と急速に増大。

【図表９：インターネットバンキングに係る不正送金事犯の発生件数及び被害額の推移】

インターネットバンキングに係る不正送金事犯の発生件数及び被害額の推移グラフ — 出典：令和５年におけるサイバー空間をめぐる脅威の情勢等について(警察庁)

被害者の97.9％が個人。全体の60%が40代~60代。
フィッシングの手口としては、電子メールが53％、SMSが21%。
不正送金先は暗号資産交換業者の金融口座が金額の51%。

インターネットバンキングでの不正送金は、フィッシング、マルウェア等を通じて発生します。このような被害を防ぐためには、対策をしっかりと行うことが重要です。

ビジネスメール詐欺（BEC）での不正送金

ビジネスメール詐欺（Business E-mail Compromise：BEC）とは、取引口座番号の変更や急な支払い要求などの偽の電子メールを組織や企業に送り付け、従業員を騙して攻撃者の用意した口座へ送金させるもので、標的型メール攻撃の一種です。

インターネットバンクでの不正送金に比べて、1件当たりの被害金額が大きいのが特徴です。

独立行政法人情報処理推進機構（IPA）の分類では、BECには2つのタイプがあります。

一つは取引先を装うもので、もう一つは経営者を装うものです。

攻撃者はこれらのメールを使って、従業員に偽の口座に送金させるのがその手口です。

【手口１】取引先を装うもの
攻撃者が取引先になりすますものです。取引先との請求書等のやり取りをメールなどで行っている場合に利用されます。攻撃先企業の取引にかかわるメール内容を事前に入手することで、攻撃先企業担当者に偽の請求書等を取引先からの本物の請求書メールと誤認させます。

【手口２】経営者を装うもの
攻撃者が攻撃先企業の経営者や役員などになりすますものです。財務・経理・会計担当者に攻撃者の用意した口座に振り込ませる手口です。
攻撃先企業の経営者や役員などの情報を事前に入手することで、攻撃先企業の財務・経理・会計担当者に経営者や役員などからの指示のメールと誤認させます。

BECは単独の企業だけでは対策が完結できません。

偽の電子メールは、取引先や経営陣を装って送られてきます。

マルウェア等を使って乗っ取った本来の取引先や経営陣のPCを使って送っていることもあり得ます。

各企業には基本的セキュリティ対策を確実に実施することが求められます。

その上で、BEC対策の要となる「財務・経理・会計担当者」への教育や、取引先口座の変更はメール以外で確認するなどのルール整備が重要です。