なぜ中小企業における不正送金被害が続出しているのか 第1回「全銀協の考え方」
2014年は、法人における情報被害が多発した1年になりました。情報漏えい事件や法人における不正送金被害の激増。とりわけ、日本の中小企業は世界から格好のターゲットとして狙われています。今後、このような被害は増えこそすれ減ることはないと考えたほうが良いでしょう。
何故、このようなことが起こっているのか。中小企業のお金と情報を守るために、どのような対策を打てばよいのか。6回に渡って、日本の中小企業にセキュリティ被害の実態と具体的な対策方法について説明します。
●本年1年間の情報被害を振り返る
まずは、本年1年間の情報被害を振り返ってみましょう。2月下旬。仮想通貨「ビットコイン」を取り扱う取引業者であるマウントゴックスが突然の倒産。「情報=お金」の時代では、情報被害に遭うと市場からの一発退場があり得ることを予兆させるような、象徴的な出来事でした。
4月にはWindowsXPのサポート期限切れにより、「セキュリティ面でのリスクが高まる」という問題が発生。新しくパソコンを入れ替えた方も多かったことと思いますが、まだまだ入れ替ていない企業も多いのが実態です。
5月には法人における不正送金による被害金額が、昨年(2013年)1年間に起きた不正送金額14億円を突破。とりわけ、法人被害が続発しているという問題が新聞紙上を騒がせ、インターネット・バンキングを活用している企業経営者を今でも不安にさせています。
更に7月。ベネッセの情報漏えい事件が勃発。2,070万件もの個人情報が流出し、
今でも問題の解決に至っていません(2014年12月3日に集団訴訟が起きています)。
9月にはヤマト急便、佐川急便が連続して情報漏えい。立て続けにJALが情報漏えい事件。JALマイレージバンクに登録している個人情報が最大75万件流出した可能性がある、という発表がありました。
●被害金額、件数が拡大を続ける法人の不正送金被害
更に9月には、警察庁が「2014年上半期(1月~6月)までの不正送金被害の実態」を発表しました。2013年1年間の不正送金被害はおよそ14億円。2014年上半期(1月~6月)の被害金額は18億5,200万円。去年の被害金額を優に突破しました。
とりわけ問題になっているのが「法人被害が増加している」点です。2013年下半期(7月~12月)の法人被害額は、7,500万円。2014年上半期(1月~ 6月)の法人被害額は、5億7,200万円。わずか半年で7.6倍も被害額が拡大しているのです。
不正送金被害は地方銀行、信用金庫、信用組合に被害が拡大していることも気をつけないといけません。「うちは地方だから」「小さい会社だから」では済まされないのです。法人の場合、個人の被害とは大きく異なる点が幾つかあります。
●1回あたりの不正送金額が大きく、被害に遭った場合は倒産も有り得る
不正送金被害において、個人に比べて、法人は被害金額が膨れ上がる傾向にあります。オンラインバンキングの取引額や預金残高が個人よりも大きいためです。1回の送金金額を億単位で設定している企業もあります。そのため1回の不正送金額が1,000万円以上というケースも発生しているのです。
実際に、従業員の給料に支払うお金が1,000万円強、何者かに引き出される事件が地方で発生しています。警察には被害届を提出し銀行にも相談をしていますが、盗られたお金は今なお、戻っていません。
「こういった話はあまり聞かない」という意見を耳にしますが、よく考えてみてください。
万が一、自社が数千万円単位の不正送金被害に遭ったら、あなたは他社に漏らしますか。
「不正送金被害に遭って、資金繰りが大変だよ」と言った翌日には「あの会社は大変らしい」「今のうちに売掛金を回収しないと」「取引を見直さないと」という情報が駆け回り、二次災害で本当に倒産してしまうかもしれません。
●法人は「預金者保護法」の適用対象外であるため、預金が戻らない可能性も
「被害に遭っても、銀行が何とかしてくれる。大丈夫だよ。」とタカを括っている経営者が多いのにも驚きます。確かに法制度としては「預金者保護法」というものがあります。しかしこの法律は、個人の預金保護の観点で適用されている法律であり、法人には適用対象外なのです。
一方、インターネットバンキングを活用した法人の被害が激増している中、全国銀行協会(全銀協)が、本年7月17日に最終的な結論を出しました。「法人向けインターネット・バンキングにおける預金等の不正な払戻しに関する補償の考え方について」に具体的な内容が明記されていますが、重要な項目について一部を抜粋してみます。
「したがって、今後、会員銀行は、インターネット・バンキングの信頼性を高め、お客さまに安心してご利用いただくために、法人のお客さまの被害に対する補償を個別行の経営判断として検討するものとする。」と、個別の銀行としての経営判断に委ねてしまったのです。
こうして各銀行は、補償金額の上限設定や、不正送金サイトへ誘導された場合に「詐欺サイト」と見分けるプログラムの配布開始、ワンタイムパスワードによるセキュリティ強化、デジタル証明書を活用した不正送金対策、さらには啓蒙活動。サービスの向上とリスク対策を同時並行で行う、涙ぐましいほどの努力をしています。
一方、自らを守るべき、法人企業(特に中小企業)はいかがでしょうか。銀行から送られてきた「重要な資料」の封も切らずに置きっぱなし。送られてきた「不正送金対策のDVD」には興味すら持たず。「パソコンはわからない!」と、経営者は興味を示さず現場任せ。
経営の現場を見て経理担当者から「どうしたら社長がわかってくれるのでしょうか」と泣きそうになりながら相談をしてくる姿に遭遇するたびに、「これだから日本のITリテラシーは向上しないし、被害に遭うのだろうな」と感じました。知らないことを理由に「思考停止」に陥っているのです。
●ウィルスソフトを入れておけば大丈夫。であればここまで被害は拡大しない
「うちはウィルス対策ソフトを入れているから大丈夫」という声もよく聞きます。実際、ウィルス対策ソフトの普及率は高く、中小企業でも90%を越えています。ここまでウィルス対策ソフトの普及が進んでいるのに、何故不正送金被害は拡大の一途を辿っているのでしょうか。それはウィルス対策ソフトでは補いきれない人の心理を巧妙についた手口の増加や、被害そのものが複雑化しているためです。
今までは「フィッシングメール」という詐欺メール経由で、偽装サイトに誘導されるケースが主流でしたが、現在はSNS経由やHP閲覧等でも被害に合うケースが増えてきたようです。
例えば、本年3月。マレーシア航空の消息不明便に便乗した詐欺動画サイトが現れました。興味を引くような時事問題に絡め、動画を閲覧しようとするとパソコンが乗っ取られたりアンケートを称した詐欺サイトに誘導される手口です。このほかにも、2014年5月に「サッカーW杯ブラジル大会」に便乗したパソコン乗っ取り詐欺サイトが出現。9月にはiCloudから女優のプライベートな画像が流出した、という事件に絡めたパソコン乗っ取り詐欺サイトが現れました。
このように、人の興味を引くような「時事問題」に絡めるなどして詐欺サイトに誘導された場合、ウィルスソフトでは対策が困難な場合があります。今後は「東京オリンピック」に絡めた被害が出てくる可能性が十分にありえます。
あなたには巧みな「心理戦」を乗り越えられる自信はありますか。
《船井総合研究所 経営コンサルタント 那須 慎二 / 技術監修 ウォッチガード・テクノロジー・ジャパン》