IPA ビジネスメール詐欺(BEC)対策特設ページ
こんにちは、丸山満彦です。
IPAがビジネスメール詐欺(BEC)対策特設ページを開設しています。
● IPA
・2022.09.28 ビジネスメール詐欺(BEC)対策特設ページ
前から気になっているのが、ビジネスメール詐欺対策の解説です。
多くの解説では、
・普段と異なるメールに注意するとか
・セキュリティ対策(ウイルス対策・不正アクセス対策など)
が強調されるわけですが、、、
最も本質的な対策は、送金についての内部統制なのだろうと思うんですよね。。。
販売周りの不正は、利益調整のための不正、予算達成のための不正が多いのに対して、
購買回りの不正は、金銭不正が多いように思います。
これは昔から。。。内部者が、自分(や自分がコントロールしている他人)の口座に、商品や固定資産等の購入代金を支払わせるという方法や、購買先と結託して、水増し請求をしてもらい、水増しした金額で支払い、購買先から水増し分の一部のキックバックをもらうという方法など、いくつかパターンがあります。
で、ビジネスメール詐欺の対策ですが、最も大事なのは、この支払い段階の不正を無くすことです。
そのためによく取られている対策は、実在性、評価の妥当性、期間配分の適切性を確認するために、
(1)発注部門の承認
(2)経理部門の承認(発注部門での不正を、経理部門が見つける)
(3)支払いのためのアプリケーション統制
となりますね。。。そして、不正が行われないようにするためによく行っている対策は、
・(3)の一部にある、支払い先のマスター管理です。つまり、支払いはあらかじめ登録した口座(支払口座マスターに登録されている口座)にしか払えないようにすることです。例外が生じる場合があると思うのですが、その場合は、取引先への確認(あらかじめ登録されている電話やメールアドレス等に対して)行うことです。
で、これってJ-SOXの業務処理統制ですから、少なくとも財務報告に係る内部統制が有効になっている企業においてはBEC被害はほぼないはずです。逆にいうと高額なBEC詐欺の被害を受けた企業は、財務報告に係る内部統制の不備の結果であることを認識してもらう必要があるかも知れません。。。
サイバーの目線だけで考えると適切なソリューションが見つかりませんね。。。
ちなみに、BEC被害はこの2年ほどは下がってきています。。。
● 警察庁
(出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf から作成)
● まるちゃんの情報セキュリティ気まぐれ日記
・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」
Comments