JAL、偽の請求書を信じてしまい振り込め詐欺被害者になる 47
ストーリー by hylom
ビッグな金額 部門より
ビッグな金額 部門より
あるAnonymous Coward 曰く、
日本航空が「偽の請求書が添付された電子メール」にだまされて振り込んでしまう被害に遭ったという(Aviation Wire、朝日新聞)。
偽の請求書の名目は香港で航空機リース料が約3億6000万円、米合衆国で貨物の地上業務委託料が約2400万円で、これにに従って香港の別々の銀行口座に振り込んでしまったという。偽と気が付いた時には、振り込んだ金銭はすでに引き出されていたという。日本の担当者は香港の口座情報を確認していなかった。
何度だまされたら気づくのか (スコア:5, 参考になる)
その後JAL本社の財務部門が3億6千万やられた。
自作自演あるいは内部犯行を疑われても仕方のない事案ですね。
財務って電算化が進んでいてITに詳しそうだが、実はコテコテの文系でITは一番ダメな部署なんだよな。
しかし
スカイマークは気が付いた [nikkeibp.co.jp]、ANAはセーフ。
JALはアホ。
Re:何度だまされたら気づくのか (スコア:5, 興味深い)
> 時系列の通り、まず今年の8月と9月にJAL米国支店が2回振り込んで2400万パクられた。
偽メールに確認の返信をするときにCcで正規の取引先を含めて送るという、
わざわざ詐欺師に本物の情報を教えてあげているのには同情の余地無し…。
そんなことしたら詐欺師は本物のアドレスを詐称して「本当だよ」って
送ってくるに決まってるじゃん。
本物の取引先にもJAL担当者を装って「さっきのは勘違いでした。無視して」
って送ったかもしれない。
> その後JAL本社の財務部門が3億6千万やられた。
> 自作自演あるいは内部犯行を疑われても仕方のない事案ですね。
こっちのほうはかなり巧妙。
JALか取引先がハッキングされていた可能性も高い。
少なくともメールのやり取りは完全にモニターされていたと思われれる。
直前に送られてきた請求書のPDFが改変され、訂正版として送られてきた
ということだから。
> スカイマークは気が付いた、ANAはセーフ。
スカイマークは騙されて送金しようとしたんだけど既に口座が凍結されて
いたので送金に失敗してセーフだったんだよ。
送金できなくて詐欺だと気付いた。
Re:何度だまされたら気づくのか (スコア:1)
スカイマークの1回目は運が良かっただけだが、2回目は「注意喚起の成果により未然に阻止された」。
が、JALの方は発覚したのが10月で2通計3回の被害はすべてそれ以前だからスカイマークが特別上手かったとも言い切れんなぁ…
> 偽メールに確認の返信をするときにCcで正規の取引先を含めて送るという、
> わざわざ詐欺師に本物の情報を教えてあげているのには同情の余地無し…。
このやり取り周辺についてはJALも取引先も杜撰が過ぎるわなぁ…
確認の際に、振込先の変更について言及しなかったのか、言及したのに取引先がスルーしたのかどっちでも杜撰。
だけど、アドレス変更について確認されているのに取引先は何を確認して事実だなどと回答したのだろう。
偶然、最近アドレスを変更していたにしても、確認を求められているのに何をしているのかと。
> 少なくともメールのやり取りは完全にモニターされていたと思われれる。
スカイマークも実在の担当者の名前(と恐らく実在の取引)を提示してきてるし、
スカイマークもJALも取引のメール内容が盗まれていたのは同じ条件と思われる。
Re:何度だまされたら気づくのか (スコア:2, おもしろおかしい)
JALには今をときめくセキュリティ専門家の齋藤ウィリアム浩幸氏がついてたはずなのに!
Re: (スコア:0)
>偽メールに確認の返信をするときにCcで正規の取引先を含めて送るという、
>わざわざ詐欺師に本物の情報を教えてあげているのには同情の余地無し…。
素人でしょ?仕方ないよ…。よく確認メール送る気になったと褒めたいぐらい。
JALのみたいな内部の情報が漏洩してるビジネスメール詐欺は見破りようがないわ。
アホだのバカだの言ってる奴は、手口を分かってないか、想像力が足りてない。
普段よくくるフィッシングと同じレベルと思ってるんだろうけど、間違いなく明日はおまえだパターン。
Re:何度だまされたら気づくのか (スコア:2)
業務での対応だった以上、「素人でしょ?」は失礼なのでは?
末端の担当者にのみに責任を負わせるのは厳しかろう、とは思いますが。。。
どんなフローになっていたのかは気になりますね。
振込先の変更が上長の承認なしに行えるのはちょっと考えにくい体制だと思うのですが。。。
Re: (スコア:0)
金額の変更ならともかく、振込先の口座の変更に承認いります?
仮に必要だったとして、あなたの会社の上長は、部下からの情報とは別に、自分で直接取り引き先に連絡したりして確認取ってるんでしょうか。
Re:何度だまされたら気づくのか (スコア:2)
金額の変更ならともかく、振込先の口座の変更に承認いります?
当然に、金額変更以上の承認フローが設定されている処理でしょ。
このストーリーからも分かるとおり、取引実績のある口座で金額を間違えても実績のある連絡先に事情説明して次の取引で相殺処理なりすれば済む(と言っても平謝り案件ではある)けど、振込み先を間違えたら最悪取り返しが付かないんだから。
仮に必要だったとして、あなたの会社の上長は、部下からの情報とは別に、自分で直接取り引き先に連絡したりして確認取ってるんでしょうか。
やり取りに不審を感じたり、予定されている取引額が大きければ(部下がやりとりしている担当ではなく、自分と同等の役職者などに)確認するものではないでしょうか。
# どのような場合でも一切確認しないのであれば、何のための承認プロセスなんだって感じなのですが。。。
Re: (スコア:0)
> 素人でしょ?仕方ないよ?。よく確認メール送る気になったと褒めたいぐらい。
仕方なくないよね。
取引先ではないアドレスから振込先口座変更のメールが来たら、普通は*無視*するし、
少なくとも安全な方法で確認するよね。
不審なメールを送ってきたやつに確認を送るなんて素人だからって許される範疇を
大きく超えてる。
> アホだのバカだの言ってる奴は、手口を分かってないか、想像力が足りてない。
> 普段よくくるフィッシングと同じレベルと思ってるんだろうけど、間違いなく明日はおまえだパターン。
いや、2つの被害のうちの先に遭った被害のほうは普段よく来るフィッシングと同じ
レベルの偽メールだよ。だって、取引先とは違うアドレスから送ってきてんだから。
最低でも確認の送り先は本物の取引先だけにするもんだよね。
君は想像力が不足しすぎていて同じように騙されそうだから、私が上司なら
そういう経理や財務担当からは外すだろうね。
Re: (スコア:0)
> 普段よく来るフィッシング
本物の取引先と同じ担当者名で、実際の取引内容を把握していないと送れないような内容のメールが普段からバカスカ届いてたら情報管理ガバガバ過ぎて大問題です。
まぁ結局は漏れてたわけだけど。
Re: (スコア:0)
>振込先口座変更のメールが来たら、普通は*無視*するし
しないだろ。経理担当だよ?そんなメール普通に何通もやり取りしてるんじゃ。
で、経理担当者がメールの差出人が偽装できるとか知らんだろ。
詐欺師に本物の情報を教えてあげているとか微塵も思ってなかった。
そして正しいアドレスから偽の返事が送られてきたら、信じてしまうのも無理ない。
まぁアドレスを確認する程度には怪しかったのかもね。
つか君ら文面だけで取引先や上司のものとわかるようなメールも全部一字一句アドレス確認してるの?
今日取引先や上司から届いたメールがもし偽だったとして、見破れただろうかとか思わないの?
アドレスチェックしてた?
Re: (スコア:0)
> つか君ら文面だけで取引先や上司のものとわかるようなメールも全部一字一句アドレス確認してるの?
文面に騙される人ですね。
Re: (スコア:0)
してるの?
には返事しないんですね
Re:何度だまされたら気づくのか (スコア:3, すばらしい洞察)
アホじゃなきゃ破綻なんてしない。
Re:何度だまされたら気づくのか (スコア:1)
アホじゃないと否定する理由にはならないけど、JALが破たんしたのは
国策企業として国交省やJ民党にいいように利用されたからなんだよ。
儲かる余地のない各地の田舎に空港を作りまくってJALに路線を無理やり
作らせた結果だからね。
儲かったのは空港作りまくったゼネコン。
JALはもう使えないので、今度はJRを使ってやってるね。
リニア。
Re: (スコア:0)
そういえば政府専用機の担当、長らくJAS時代からの縁でJALが担ってたわけだが
ANAに代わったときにJALは内心ホッとしたなんて話あったっけ。
いいように使われ手間ばかりかかって金にならないから。
Re: (スコア:0)
政権内抵抗勢力として政権支持率上昇に貢献した河野外務大臣だけど、
今度外務大臣専用機をおねだりしているね。
それもJAL/ANAあたりが運航するのかな。
理由が「外遊先でメシに誘われても民間機の時間の都合で断らないと
いけないことがあるから、専用機で自由になれば一緒にメシできる」
ってことでぶっ飛びだけど。
Re:何度だまされたら気づくのか (スコア:1)
候補はガルフストリームG650ERらしいから、空自で運用可能。
空自は多用途支援機でガルフストリームIV持っててVIP輸送の実績もあるし。
つーか、政府専用機も運用は空自なんだが。整備と特別空中輸送員(民間機のCA相当)の訓練を現行747がJAL、次期777からANAが担当するってだけで。
Re: (スコア:0)
> つーか、政府専用機も運用は空自なんだが。
そういう問題じゃねーだろって。
Re: (スコア:0)
外交における国家間の接待と個人的な飲み会とを同レベルで語る奴がいる。
ニュースでは「おねだり」とか揶揄されていたけど、運用費用を超える国益が得られるのであればありだと思う。
自作自演 (スコア:2)
JALの担当者が「偽の請求書が添付された電子メール」を
自分で作成して自分の会社のメールアドレスに送って
だまされたふりをしてその請求書に書かれた自分自身の口座に振り込んだと。
Re:自作自演 (スコア:1)
自作自演かどうかはさておき,
これまでの取引内容や担当者の名前,連絡先などを
犯人は把握してるってことですよね?
内部犯でないなら,情報漏洩も疑わなきゃダメかもしれませんね。
Re: (スコア:0)
前のトピック [security.srad.jp]のような攻撃を受けてメール等を含む情報一般が奪われてたんじゃね?
Re: (スコア:0)
やっちまった挙句、↑のようなこと言われて、担当者は散々な正月だな... カワイソス
Re: (スコア:0)
担当者個人の問題に関わらず、組織的な工作じゃないかは当然疑われるでしょう。
こんなん騙されてかわいそうだね~で済ませてたら隠し放題だぞ。
Re: (スコア:0)
主犯か共犯かはさておき、やっちまった当人が容疑者リストのトップになるのは基本だろう。
とりあえず巨額の借金がなかったか、隠し口座がないか、金遣いがあらかったり
突然羽振りが良くなったりしてないかくらいは調べるんじゃね。
Re:自作自演 (スコア:1)
犯罪被害者に対する名誉毀損だと思うんだけど、自覚無いんだろうな...
Re:自作自演 (スコア:1)
被害者は会社だろ。
送金担当者が受けた被害って具体的に何なんだよ?
Re: (スコア:0)
容疑者リストのトップになるぐらいは仕方ないんじゃないですかね
疑わないんじゃ捜査機関失格でしょ
被害者は絶対とかの方がおかしい
Re: (スコア:0)
最も得をする人を疑うのは、ミステリー小説の基本ではある
# で、何か得をしているのか?
Re: (スコア:0)
得をした奴ってのは香港の口座から金が回ってきたやつで、それが辿れないから「最も得をする人」を探すことは出来ない。
あまりにもあっさり騙されすぎているから、疑う人もいるってだけだよ。メール内容の流出経路に成り得る立場でもある。
もしそうであっても、他社でも似た時期に起きてる事件でもあるから、数いる従犯の一人に過ぎないだろうが。
ちなみに、コレに該当するのはスカイマークでの未遂2件とJALでの2件の4件で計8人が範囲に入る。
ここから明確に阻止した側となるスカイマーク2件目のスカイマーク側担当を除いて7人。
まぁきっとメールが盗まれた件に関しては何らかのマルウェアでも食らってただけだろうし、
調べるも結局彼らは全員白になりそうな気はする。
でも、JALのアドレス変更に関する問い合わせを何故か問題なしと返したJAL1件目取引先と、
後で確認するとかいいつつ数日ノーアクションのまま振り込んだJAL2件目のJAL担当者の行動は追求されるだろうなぁ…
Re: (スコア:0)
関与してた可能性はあるだろうけど、そうだとしてもメールアドレスや口座は足がつかないように変な方法で作ったものを使うと思うぞ…
Re: (スコア:0)
ニック・リーソン「理由はいいからうちの支店に送金してちょ」
井口俊英「理由はいいからうちの支店に送金してちょ」
SKYも (スコア:2)
SKYも同手口にはまっていたようですね。
スカイマークも同じ手口で…JAL4億円振り込め詐欺(2017/12/21 11:55)
http://news.tv-asahi.co.jp/news_society/articles/000117159.html [tv-asahi.co.jp]
Mailsploit 脆弱性の悪用? (スコア:1)
・「送信元のアドレスは画面表示上、担当者のものと同じだった」
https://www.asahi.com/articles/ASKDN66QBKDNUTIL04Y.html [asahi.com]
・メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける [it.srad.jp]
今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
Vendors affected by Mailsploit [google.com] の最新情報でも脆弱性修正がまだのメーラーが多数、Thunderbird は脆弱性を修正しないとする方針を撤回してベータ版では修正が終わったのは良いけど正式版はまだなので、まだ From 詐称による詐欺被害は続くかもしれません。
MailsploitでFrom詐称どころかXSS/Code Injection発生のメーラーが多数、いまだに未パッチのメーラーが多い現状を考えると、PGPやS/MIME使うか、お互いGmailでも使ってた方が安全ですね
Re: (スコア:0)
>今時 DKIM & DMARCポリシー対応が当たり前なので単にヘッダー書き換えて From を詐称しても届かないか詐欺メールor迷惑メールフラグが付いて警告が出るのが普通
そうなっていてほしいけど、残念ながら現実は。
>Mailsploit 脆弱性の悪用 [it.srad.jp] かもしれませんね
dmarcが普及してない現実を考えれば、mailsploit なんて手法に頼らず、
昔ながらの方法でヘッダ詐称したほうが確実だろう。
Re: (スコア:0)
> dmarcが普及してない現実
一般人の使ってるフリーメールは皆対応しているので、そこらへんのJK・JCになりすましメール送って騙すことすらできないんだけど
Gmail https://support.google.com/a/answer/2466580?hl=ja [google.com]
Yahoo! Mail https://sendgrid.kke.co.jp/blog/?p=1797 [kke.co.jp]
Microsoft Outlook https://technet.microsoft.com/ja-jp/library/mt734386(v=exchg.150).aspx [microsoft.com]
一
Re: (スコア:0)
そういうサービスの法人向けなら対応してるだろうけど、
ふつーにメールサーバ立てて運用する形態だと追加費用出さなきゃ対応してくれんだろうね。
Re: (スコア:0)
dmarcが普及してない現実を考えれば、
中小企業だと自社でシステム構築するのは不可能でGoogle Apps for WorkになってるのでDMARCには対応してる
大学のac.jpメールも大抵の大学はGoogle Appsだね
大手だとSIerに作らせた古いシステムを未だに使ってるからDMARC対応は次のシステム更新までないんじゃないかな
Re: (スコア:0)
>Google Apps for WorkになってるのでDMARCには対応してる
サービスが対応しているということと、サービスを利用するユーザがそれを実際に使うということは話が別。
たとえば今回のjal.co.jpのMXを見るとmessagelabsのサービスを使っているようで、
これはdkim署名対応済みのサービスだけど、jal.co.jpはdkim公開鍵を登録していないので
実際には署名していないとわかる。
また、このサービスはspf/dkim/dmarcの検証にも対応してるけど、
送る側がspf/dkim宣言していなければ検証しようがない。
権限どうなっとん (スコア:0)
既知の契約先の振込口座の把握もねぇ
新規の振込先口座に対する確認ねぇ
億単位、千万単位でも担当者レベルでぐ~るぐる
# おらこんな組織いやだ~♪
Re: (スコア:0)
零細企業でも数百万を担当者レベルでポチっと送金したりするよね。
送金する許可の権限は上司の承認が必要だろうけど、今回は架空請求
ではなくて実際の請求の振込先を変更させた手口だよね。
JALだけじゃなくて意外と騙されてる会社は多いかもよ。
公表していないだけで。
保険効くのかな (スコア:0)
こういう事態を想定した保険ってないのかな?
あるわけないか。
Re:保険効くのかな (スコア:1)
もしあっても、重過失扱いになるんじゃないか?
しまった! (スコア:0)
やっちまったでごJAL
検索 [JAL メール 詐欺] (スコア:0)
https://www.jal.co.jp/footer/phishing/ [jal.co.jp]
Re:検索 [JAL メール 詐欺] (スコア:1)
身をもって示したのね。w