株式会社モダリス(東京都中央区)は遺伝子治療やゲノム編集などの最先端の技術を使って創薬を目指しているバイオテクノロジー企業だということですが、同社によると同社子会社がビジネスメール詐欺(BEC)に遭い9万ドル(約1400万円)の損失を被ったということです。
アメリカの製造委託先企業を騙って送られてきたメール
株式会社モダリスのリリースによると、アメリカに拠点を置く製造委託先企業に2023年初めに依頼して同8月に納品を受けた仕事について、同11月後半に製造委託先企業を騙る人物からメールで支払い依頼があり、指定された口座に代金を支払ったということです。その後、製造委託先企業の経理部門から同じ仕事について再び請求がなされたことからビジネスメール詐欺であったことが発覚したということです。
モダリスはただちに地元当局に連絡するとともに、送金元金融機関とビジネスメール詐欺が指定した口座のある金融機関にも連絡し送金先口座を凍結することに成功、送金した金額の多くは口座に残されていたということです。送金元金融機関と送金先金融機関がやりとりをして一定の額について回収がなされ、また、被害額は製造委託先企業と双方で負担することで合意、さらに保険会社に対して電子的詐欺行為に対する保険請求を行い、一定額の補償が認められ、最終的な損失として9万ドル(約1400万円)が確定したということです。
取引のやり取りを観察し適切なタイミングで送られてきた
捜査機関による捜査が行われていますが、今のところ犯人検挙につながる有力な情報は得られていないようです。また、モダリスは代理人を通じて犯人が指定した口座が開設された金融機関に犯人や不正にかかる情報の開示を求めましたが、金融機関側は守秘義務を理由に情報を開示しなかったということです。犯人からのメールは、適切なタイミングに不審を抱かせることのない内容で送信されてきたということで、犯人は製造委託先企業の担当者のアカウントを乗っ取り、ある程度の期間、取引のやり取りを観察し、個人的な関係性や支払時期を理解した上で絶妙なタイミングを狙ってメールを送信してきた可能性があるようです。モダリスは「ハッキングの手技に加えて極めて巧妙な手口の詐欺であったと推測されます」としています。
個人情報の漏洩は確認していないとしています。モダリスでは取引先でのアカウント乗っ取りを想定し、今後は送金時に複数の手段による確認を行うとともに社内の送金プロセスの見直しを行っているということです。また送金口座のある金融機関とは電子的詐欺行為への対策を継続的に協議しているということです。本件とは別に被害には至っていないものの詐欺行為と思われるアプローチを継続的に受けているとのことで、こうしたリスクに備えた社内体制の整備を徹底していく、としています。
ビジネスメール詐欺は電子メールシステムをハッキングしたり、ソーシャルエンジニアリングの戦術を使用して企業の支払いシステムに関する情報を入手し、従業員を騙して口座に送金させるサイバー詐欺の手口で世界中で被害が多発しています。インターポール(国際刑事警察機構)は送金してしまった際の対応として、取引に関する文書とメール請求書をできるだけ早く地元の警察に提出して事件を報告する、銀行に通報して回収を試みてもらう、送金先口座のある国の民事弁護士に相談することをあげています。
■出典
https://www.interpol.int/Crimes/Financial-crime/Business-Email-Compromise-Fraud