| 発覚時期 | 2017年(同年12月に被害を公表) |
|---|
| 種別 | ビジネスメール詐欺(BEC=Business Email Compromise) |
|---|
| 対象組織 | 日本航空(JAL) |
|---|
| 被害規模 | 合計約3.8億円(航空機リース料を装った送金 約3.6億円、貨物業務の委託費を装った送金 約2,400万円) |
|---|
| 主な手口 | 取引先になりすました偽のメールで「振込先口座が変わった」と通知し、攻撃者の口座へ正規の支払いを振り込ませた |
|---|
1. 事件の概要
2017年、日本航空(JAL)がビジネスメール詐欺(BEC)の被害に遭い、合計で約3.8億円をだまし取られました。BECとは、取引先や自社の経営者などになりすました偽のメールで、担当者をだまして攻撃者の口座へお金を振り込ませる詐欺です。ウイルスでシステムを壊すのではなく、「人をだまして自らお金を送らせる」点が特徴です。
この事件では、航空機のリース料を請求する取引先や、貨物業務の委託先になりすましたメールが送られ、「振込先の口座が変わった」と通知されました。経理担当者はそれを正規の連絡と信じ、攻撃者が用意した口座へ支払いを振り込んでしまいました。システムは一切壊されておらず、正規の業務として送金が行われたため、被害に気づきにくいのが恐ろしい点です。
2. 被害の内容
被害は大きく2件で、合計約3.8億円にのぼりました。
- 航空機リース料を装った送金:約3.6億円 リース会社になりすましたメールで振込先変更を通知され、攻撃者の口座へ送金。
- 貨物業務の委託費を装った送金:約2,400万円 別の取引先になりすましたメールで送金。
主な影響
- 多額の金銭を直接失った(BECは送金後の取り戻しが極めて困難)。
- 送金・請求業務のチェック体制の見直しを迫られた。
- 「大企業でもだまされる」事実が、BECの脅威を国内に広く知らしめた。
BECの被害額は、世界全体で見ると、ランサムウェアを上回るとも言われるほど巨額です。地味で目立ちませんが、「最もお金を失う攻撃」の一つです。
3. 原因と手口
典型的なBECの流れ
- 下調べ:攻撃者は事前に、取引関係・担当者・支払いの流れを調べる(メールを盗み見ていることもある)。
- なりすまし:取引先や経営者を装い、本物そっくりのメールを送る(似たドメインや、実際のやり取りへの割り込み)。
- 振込先変更の通知:「口座を変更した」「至急この口座へ」と、もっともらしい理由で送金を促す。
- 送金:担当者が信じて振り込み、攻撃者の口座へ着金。すぐに引き出される。
だまされやすい背景
- 「振込先変更」は実際にもある:日常業務の一部なので疑いにくい。
- 急かされる:「至急」「今日中に」と心理的に追い込まれ、確認を省いてしまう。
- メールだけで完結してしまう:電話など別経路での確認をしないと、なりすましを見抜けない。
BECの肝は「振込先(口座)の変更」です。メールで口座変更を求められたら、それだけで強く疑ってください。本物の取引先を装うのが攻撃者の常套手段です。
4. 対策と教訓
BECは中小企業こそ狙われます。高額なツールは不要で、「送金業務のルール」を整えることが最大の防御です。
すぐできる対策
- 振込先変更は必ず別経路で確認する:メールで口座変更の連絡が来たら、メールに返信せず、登録済みの電話番号に電話して本人確認する。
- 送金は複数人で承認する:一定額以上は、担当者一人で完結させず、上長のダブルチェックを必須にする。
- 「急かす」依頼を疑う:「至急」「秘密で」と通常手順を飛ばさせる連絡は危険信号。
- メールアドレスをよく確認する:1文字違いの似たドメイン、表示名だけ本物などに注意する。
- 経理・財務担当者に手口を共有する:BECという詐欺があることを知っているだけで、引っかかりにくくなる。
- メールアカウントを多要素認証で守る:自社メールを盗み見られると、なりすましの精度が上がる。乗っ取りを防ぐ。
5. まとめ
日本航空のBEC被害は、「システムを壊さず、人をだまして自らお金を送らせる」詐欺の怖さを示しました。大企業でも約3.8億円を失った事実が、その巧妙さを物語ります。教訓は明快です——振込先変更はメールを信じず電話で確認、高額送金は複数人で承認。送金業務のルールこそが、最強のBEC対策です。
※本記事は報道・公表資料など一般に公開された情報をもとに、教育・啓発を目的として再構成したものです。被害額等は報道時点の数値であり、正確な情報は公式発表をご確認ください。