トヨタ紡績はJALを超えた

ビジネスメール詐欺にひっかかる企業・・・実は多いのかも知れません。トヨタ紡織が４０億円の資金不正流出被害に遭った事を発表しました。

www.nikkei.com

トヨタ紡織は6日、ベルギーの子会社「トヨタ紡織ヨーロッパ」で、外部の第三者による虚偽の指示により、約40億円の資金が流出したと発表した。社内調査で発覚し、詐欺事件とみて現地の捜査機関に被害届を出した。2020年3月期の業績予想の修正が必要になるか検討している。

トヨタ紡織によると、資金流出があったのは8月14日で、従業員は関わっていないという。尾崎秀典・経営企画改革本部長は「詳しい内容は捜査との関係上話せない。資金の回収に努めている」と話している。

トヨタ紡織ヨーロッパは05年に設立され、欧州とアフリカ地域の自動車のシートの開発や販売などを手掛けている。トヨタ自動車や独BMWなどが取引先で、20年3月期は約400億円の売上高を見込んでいる。

企業を巡る詐欺事件では、日本航空が17年に取引先を装う相手に約3億8000万円をだまし取られた事件が起きている。また同年には積水ハウスが東京都品川区の土地取引をめぐり「地面師」グループに約55億円をだまし取られた事件が発生した。

（日経新聞記事より引用）

■公式発表　当社欧州子会社における資金流出事案について

◆キタきつねの所感

現在調査中という事で、あまり情報が開示されていません。このニュースを最初に聞いた時に、ビジネスメール詐欺（BEC）かな？と思ったのですが、公式発表では、そこははっきりと明示されてません。

このたび、当社の欧州子会社におきまして、悪意ある第三者による虚偽の指示に基づき資金を流出させる事態が発生いたしました。

（公式発表より引用）

悪意の第三者は、内部犯行ではないという意味だと考えるのが妥当だと思いますが、虚偽の指示については、メールの可能性が高い気がしましたが、最近では電話でのビジネス詐欺（未遂）事件というのも発生していますので、トヨタ紡織ヨーロッパのケースが何であったのかが気になりました。

日本のメディアの関連記事（時事・日経・読売・中日・毎日）をざっと見ましたが、記事を書いている9/7時点では虚偽の指示があった通信手段が何である事をはっきりと書いている記事は見つけられませんでした。

ビジネス詐欺では、メール以外であるならば０ディ攻撃に近い可能性があるので、公式発表で明示しないのではそうした意図があるのかな？と思ったのですが、海外では『メール』と断定した記事が書かれ始めています。

例えばBleepComputerでは、

Over $37 Million Lost by Toyota Boshoku Subsidiary in BEC Scam

トヨタグループの自動車部品メーカーであるトヨタ紡織は本日、欧州の子会社の1社がビジネスメール侵害（BEC）攻撃を受けて3,700万ドル以上を失ったと発表しました。

（BleepComputer記事より引用）※機械翻訳

と書かれていて、BECの最近の事例を挙げて他社にも警戒を促していましたし、

Forbesもはっきりと電子メールと書いています。

Toyota Parts Supplier Hit By $37 Million Email Scam

詐欺師たちは、電子メール詐欺で約40億円の損失を出した。これは、今日の為替レートで3,700万ドル強になります。

8月14日、攻撃者は金融機関の誰かを説得して、電子送金のアカウント情報を変更しました。トヨタ紡織とその子会社の両方が法執行官と接触しており、調査が進行中です。

（Forbes記事より引用）※機械翻訳

公式発表に書かれていないので真偽の程は分かりませんが、ビジネス詐欺（Business Compromise）事件では未だにそのほとんどがメール詐欺（BEC)である事、そして海外メディアで（まだ日本の情報が伝わってない中で）少なくても２記事で電子メールという記載があった事から推測すると、普通にビジネスメール詐欺（BEC）であった可能性が高いかと思います。

なぜトヨタ紡織が発表を曖昧にしたのか？は分かりませんが、以下、勝手に想像を膨らませると、

ビジネスメール詐欺が成立する要素としては、送金権限を持つ人を騙す必要がありますが、経理担当の一存でこの金額の送金が出来る・・事はないでしょうから、４０億円の送金指示を出せる権限者となると経営層（役員以上）しか普通は考えられません。騙された役員を何らかの理由で守りたかったのかも知れません。

あるいは、また被害が確定してない事から、あまり詳細を語りたくない（責任問題を考慮？）という事なのかも知れません。

　トヨタ紡織ヨーロッパはトヨタ自動車の欧州部門や独ＢＭＷなどにシート部品などを納入している。２０２０年３月期の売上高は約４００億円を見込んでいる。

（読売新聞記事より引用）

年間売上の10％である４０億円をメールだけで送金決定するのだとすれば、経営責任が問われる可能性があるかと思いますし、もし正規の社内決済を通しているのであれば、承認した部門責任者～担当役員（経営層）のチェック機能について、やはり厳しく問われる気がします。（※特に株主から）

もう１つ公式発表を読んでいて疑問に思ったのが、送金先（正規）が誰であるかが分からない点です。

送金指示者（最終決定者）がトヨタ紡績の経営層だったとして、では送金しようとしていた先は誰なのでしょうか？大口取引先であるBMW、トヨタ自動車・・・あるいはサプライヤー（部品供給会社）、色々と考えられますが、これらの大口取引先の”（本当の）口座”は当然の事ながらトヨタ紡績の経理（送金部門）も知っていたはずです。

日本では日本航空（JAL）のビジネスメール詐欺事件（3.8億円）、あるいは欧米でもビジネスメール詐欺が度々発生している事から、トヨタ紡績の経理は当然こうした詐欺への対策（教育）がされていたはずです。送金先の口座が変わった、、というメール通知を簡単に信じてしまった、、、というのはあまり想像できないのですが、もしそうであったとしたら、やはり大きな問題と言えます。

そして、ふと思い出したのが・・・大王製紙の前会長がカジノでの遊行費を社内で内々に処理させていた事件。トヨタグループですので、こんなオチはないかと思いますが・・・

www.nikkei.com

いずれにせよ、今回のトヨタ紡績の事件が、日本でのビジネスメール詐欺（BEC）の最高被害額を超えた可能性があるのは間違いない様です。

※積水ハウスの五反田での地面師の事件は通常の詐欺事件であって、ビジネスメール詐欺ではないと思いますので、JALが過去最高として上記記載をしています。

余談です。ビジネスメール詐欺（BEC)への対策についてFBIがリストをまとめているとForbesに書かれていたので、以下参考まで。2名運用、2経路（電話等）確認、振込先変更手順厳格化、、等が有効のようです。

BEC攻撃を緩和する方法
次のリストには、BEC脅威に対する予防措置と緩和戦略が含まれています。

・特定のアカウントの構成およびカスタムルールの変更について、メール交換サーバーを頻繁に監視する
・メールが組織の外部から送信されたときに通知されるメールバナーを追加して、簡単に通知されるようにすることを検討してください
・BECの脅威とスピアフィッシングメールの識別方法に関するエンドユーザーの教育とトレーニングを実施する
・既存の請求書、銀行預金情報、および連絡先情報に対する変更の検証について、会社のポリシーが規定していることを確認します
・支払いまたは人事記録の電子メールリクエストに従う前に、電話でリクエスタに連絡する
・支払いの転送時に2人の当事者のサインオフを要求することを検討する

（FBIリストから引用）※機械翻訳