法人向けインターネットバンキングの不正送金被害！巧妙化する手口と対策とは？

近年、法人のインターネットバンキングを標的とした不正送金被害が急増しており、西日本シティ銀行を含む多くの金融機関が注意喚起を実施しています。
巧妙化する手口に翻弄され、多額の損失を被る企業が後を絶ちません。

本稿では、最新の不正送金の手口と、被害を防ぐための具体的な対策を解説します。

1. なりすまし電話
   銀行員を装った犯人から、「電子証明書の更新が必要」などと電話がかかってきます。銀行の自動音声で始まる場合もあり、あたかも本物の銀行からの電話のように見せかけます。
2. フィッシングメール
   犯人から、あたかも銀行から送られたかのようなメールが届きます。メールには、偽のウェブサイトへのリンクが記載されており、クリックするとIDやパスワードを入力する画面が表示されます。
3. 多段階認証の回避
   犯人は、電話で指示をしながら、段階的に必要な情報を聞き出します。ワンタイムパスワードも、電話中に指示されたタイミングで入力させることで、不正送金を成功させます。

• Deepfake技術の利用
  犯人は、AI技術を用いて本人の声や映像を偽造し、より巧妙に被害者を欺きます。
• SMSフィッシング
  SMSで偽のURLを送信し、ショートカットキーを利用してフィッシングサイトへ誘導する手法も増えています。
• ターゲット型攻撃
  企業の内部情報を事前に収集し、その情報を元に巧妙に仕掛けてくる標的型攻撃も増加しています。

• 緊急性を煽る
  犯人は、被害者に焦りを与え、冷静な判断をさせないようにします。
• 権威を利用
  銀行員や信頼できる人物を装うことで、被害者の警戒心を解きます。
• 専門用語
  専門用語を多用し、被害者を混乱させます。

1. 企業へ銀行担当者を名乗る者（以下「犯人」）から電話がかかってくる（銀行名を かたった自動音声の電話の場合もあり）。

2. 犯人から「インターネットバンキングの電子証明の期限が切れているので更新して もらいたい。これからメールでURLを送信するので、メールアドレスを教えてほしい。」と言われたので、企業側がメールアドレスを教える。

3. 企業へリンク（URL）が書かれたメール（フィッシングメール）が届く。

4. 企業側がそのメールに書かれたリンク（URL）をクリックすると、IDやパスワードを入力する画面（フィッシングサイト）が表示される。

5. 企業側がそのメールに書かれたリンク（URL）をクリックすると、IDやパスワードを入力する画面（フィッシングサイト）が表示される。

^{西日本シティ銀行公式HPより：https://www.ncbank.co.jp/oshirase/20241128_hojinib.pdf}

• 定期的なセキュリティ教育
  実践的なシミュレーション訓練を取り入れ、従業員が実際の場面でどのように対応すべきかを身につける。
• 情報共有の徹底
  不審なメールや電話に関する情報を社内で共有し、早期に不正行為を検知できるようにする。

• 多要素認証の導入
  ID、パスワードに加え、生体認証やワンタイムパスワードなどを組み合わせる。
• パスワードポリシーの厳格化
  複雑なパスワードを設定し、定期的に変更することを義務付ける。
• アクセス権限の最小化
  従業員に必要最低限のアクセス権限しか与えない。
• ファイアウォールやウイルス対策ソフトの導入
  ネットワークや端末への不正アクセスを防ぐ。
• 定期的なシステムパッチの適用
  システムの脆弱性を突いた攻撃を防ぐ。

• 不正送金防止システムの導入
  金融機関が提供する不正送金防止システムを導入し、不審な取引を早期に検知する。
• 取引履歴の定期的な確認
  定期的に取引履歴を確認し、不正な取引がないか確認する。
• 金融機関との連携体制の構築
  不審な取引が発生した場合、速やかに金融機関に連絡し、連携して対応する。

• セキュリティに関する情報収集
  最新のサイバー攻撃の手法や対策に関する情報を常に収集し、自社のセキュリティ対策に反映させる。
• 業界団体や金融機関からの情報提供
  関連する業界団体や金融機関が提供する情報に注意を払い、最新の情報を得る。

法人口座におけるインターネットバンキングの不正送金被害は、企業にとって深刻な問題です。被害を防ぐためには、組織全体でセキュリティ意識を高め、多角的な対策を講じることが不可欠です。金融機関との連携を強化し、最新の情報を収集しながら、常にセキュリティ対策を見直していくことが重要です。