友人 K さんが過去に BEC にやられたことがある、ということでお話を伺ってきました。
生々しい話で大変興味深かったです。
* * * *
BEC を実際に経験されたということですが、本題に入る前に簡単にお仕事の概要をお伺いしてもいいでしょうか?
はい、輸入商社として水産物の輸入販売などをやっております。ですので発展途上国とのビジネスが多いですね。このあたりも後ほどお話する BEC の背景になっているかと思います。
それでは早速ですが BEC のお話を伺わせてください。
まずは 4,5 年前にやられた話からしましょうか。セネガルからアジを買い付けていたのですが、間に入っていたのが韓国人のビジネスパートナーでした。そのパートナーからいつもと同じタイミングで商品の見積もりが来まして。普段と特に変わらない内容でしたのでまったく疑うことなく送金しました。
どれくらいの額を送金されたのですか?
その時はだいたい 2000 万くらいでしょうか。まあいつもと変わらない程度の金額ですね。
送金後数日してそのパートナーからたまたま連絡がきましたので、「このあいだ送金しておいたよ」と言ったら「なんのこと?」と。(苦笑) そこでやられたことが発覚したわけです。
それって送金したお金はやはり取られちゃったんですよね?
いえ、幸い実被害にはあいませんでした。国際送金、特に途上国に対する送金は数日のラグが発生するんですね。その時は発覚してすぐ銀行に連絡をいれたところまだ送金処理途中でしたのでそこで止めることができました。
それは不幸中の幸いという感じですね。ところでなぜ攻撃者が K さんのビジネスの内容やビジネスパートナーの存在、取引内容まで把握していたのでしょう?そのあたりは判明しているのでしょうか?
ええ、ビジネスパートナーは gmail を使っていたのですが、彼の google アカウントが乗っ取られたんですね。ですので、私が彼と取引をしていてどういう内容のもので金額がいくらくらいで等まあメールでのやり取りが全部攻撃者に見られていて...というわけです。
その後の現地当局などの調べで犯人グループはナイジェリア人グループだったといった話は聞こえてきました。
そして更に別のタイミングでも BEC にやられたことがある、と伺いましたが...
はい、今度は 3、4 年前ですね。やはり水産品のビジネスパートナーとのやり取りに関して BEC を食らいました。インドの取引先からの入金依頼メールでして、送信者のドメインも確かに取引先でしたし処理に回したわけです。相手先口座名は確かにその相手先の名前になっていましたが、銀行がフィンランドの銀行でした。(苦笑)
それはその時点で気づいたのですか?
いえ、こちらも送金指示を出したあとに発覚しました。1,2 日後に取引先から「うちが乗っ取られたので我々から出たメールは捨てろ。それは偽のメールだ」という連絡が来ましてやられたことが発覚しました。でもこちらも送金ラグの間にストップかけられましたので実際の被害はなかったです。が、まあラッキーでしたね。
相手がいきなり乗っ取られているなんて考えもしないしパソコンの画面でメール見ているだけだと全然わかりませんしね。
正規のドメインがやられてしまうとちょっと厳しいですよね。よっぽど文面などに違いがあるなどじゃないと「あれ?」と思うことすら難しいと思います。
ちなみに今はなにか BEC への対策的なことは実施されているのでしょうか?
はい、流石に何度も食らいますと対策を考えないわけにはいきません。(笑)
現在は、もし先方から銀行口座変更などの連絡が来た場合、相手の経営者とこちらの経営陣とが電話などで直接やり取りをして変更内容を確認することを必須にしています。最近は WhatsApp などでやり取りすることが多いですので、テレビ電話にしてこちらに届いたメールの文面を相手に見せて確認したりとか、相手方から変更を証明するものを見せてもらったりとかで確認した後に送金指示する、といった流れにしています。
なるほど。メールとは別の手段で必ず相手先と直接確認し合うという手順ですね。
はい。まあ手間はかかるのですが確実ですし。
その他 K さんのご経験からなにか興味深いお話をお聞かせいただいてもいいでしょうか?
そうですね。特に発展途上国でビジネスをしていますと BEC はもうほんとにザラです。日常茶飯事のようにありますね。また欧米などと違い、経営者の情報などは普通に共有されていると思ったほうがいいです。例えば詐欺ではないですが、公開していないはずの私のメールアドレスに対して直接ビジネスの売り込みが来たりするのもしょっちゅうです。もちろんそういったケースですとどのようなビジネスをやってるのか、どこが取引先なのかといったことも共有されているわけですね。また従業員が転職時にお客様を持って動いたりとか社内情報を持って転職するケースも多いですしね。
ですので「うちがどこと取引しているのかわかるわけがないから BEC なんてめずらしいだろ」と思っている方がいらっしゃったら、そんなことはないぞと声を大にして言いたいわけです。(笑)
ちなみにこれは発展途上国をディスっているわけではなく、欧米や日本とはリテラシーの定義や概念が違う、という話だと思ってます。なのでこちらもそれを認識していろいろ対応しないといけないということだと思います。
なるほど。所変わればといいますが自分たちの概念がいつも通じると思うところから考え直さないとというわけですね。
はい、そうですね。あとは余談といいいますか、小ネタですが...
ブローカーや詐欺師は PC の前で待っているので返信が妙に早いです。(笑) ちゃんとした会社は忙しいので即レス来ないです。数日経ってからとか。なので妙に返事が早いようなケースは警戒しますね。(笑)
それは興味深い点ですね。でも私のようになる早で返したい人間は疑われちゃいますね。(笑)
最後に読者の方々に伝えたいアドバイスがあればぜひお願いできますでしょうか。
BEC はセキュリティ事業者が皆さんを怖がらせるために言っているのではなくリアルに存在する事象です。自分たちの会社も被害に遭いかねないということを真剣に想定するべきだと思います。
本日は興味深いお話、ありがとうございました。
Commentaires