支払詐欺から組織を守るための 6 つのアドバイス

支払詐欺は 2022 年から 2023 年にかけて 71 %増加し、 2023 年には 96%の企業 が少なくとも 1 回の支払詐欺の標的となりました。インフラストラクチャを定期的に見直し、企業のセキュリティ対策が万全であることを確認することは、特に　支払詐欺を確実に防止する上で非常に重要です。メッセージは明確です―支払いの開始から受領までを保護する強固かつ一貫したプロセスを実施していれば、支払詐欺の成功率を大幅に低減できます。 

なりすましの脅威

多くのビジネスメール詐欺　(BEC) や、最近発生しているディープフェイク詐欺などの中核にあるのは、なりすましの脅威です。サイバー犯罪者は、ソーシャルエンジニアリングの手法を使って、企業の従業員や取引業者のプロフィールを作成し、それを模倣して無防備な人々を騙し、重大なミスを犯させます。

なりすまし犯を見破るには、その特徴的な兆候を知っておくと役に立ちます。よくあるパターンとしては、支払いの要求が緊急性を帯びていたり、従業員の不在時など、特定の時間を狙ったりと、特殊な状況を悪用しようとします。さらに、貴社がプロジェクトのために多くの支払いを請負業者に行っている場合、詐欺師はその機会を悪用しようとする可能性があります。

BEC 詐欺は、ディープフェイク詐欺と比べるとやや地味に思えるかもしれませんが、以下の事例が示すように、依然として警戒が必要です。 

• パリの不動産開発業者、Sefri-Cime が、 CFO のメールを悪用した詐欺で 3,800 万ユーロを損失を被りました。同社の CFO が、著名なフランスの会計事務所の弁護士を装った人物からのメールを受信。わずか数日のうちに、 BEC 詐欺師が CFO との信頼関係を築き、数百万ユーロに及ぶ多額かつ緊急の送金要求を成功させました。
  
  

• 米ユタ州イーグル・マウンテン市 が 113万ドルの取引先なりすまし詐欺の被害に遭う。 大規模な建設プロジェクトに関するメールのやり取りの最中、建設業者を装ったサイバー犯罪者が、実際の業者のものと酷似した偽のメールアドレスを使用してメールのやりとりに侵入。 詐欺師が従業員を説得し、正規の業者ではなく詐欺師に電子送金を行わせました。 油断も一因となった可能性:  急成長と複数の業者からの支払要求の増加の中、市当局が潜在的な詐欺に対する警戒が緩んでしまった可能性があります。 

よくある詐欺の誤解

支払詐欺に関して、多くの財務経理は、実際よりも自分たちは守られていると思い込み、油断してしまう傾向があります。組織は自分たちの手順に間違いはないと思い込んだり、失った資金は必ず返還されると考えたりしがちですが、実際に攻撃が成功すると、厳しい現実を突きつけられることになります。よくある誤解には次のようなものがあります。

• 「承認プロセスはきちんと踏んだ」厳しいルールを設けている企業でも、実際の業務ではミスが起こることもあります。従業員の ID とパスワードの組み合わせは盗まれる可能性もあります。地域のトレジャリーやシェアードサービスセンターでは、現地スタッフの数が限られているため、承認に必要な人数が少なくなる場合があります。また、複数の ERP システムを使用している企業では、承認プロセスが異なることがあり、これは詐欺が発生しやすい状況を生み出します。
  
  

• 「銀行が補償してくれるはず」これは大きな誤解です。銀行職員による不正行為や銀行自体がセキュリティ侵害を受けた場合を除き、銀行には支払詐欺に対して顧客を補償する義務はありません。確かに、銀行が企業顧客に対して個別に払い戻しを行うケースもありますが、それを当てにするべきではありません。
  
  

• 「サイバー保険に加入しているから大丈夫」多くの企業は、サイバー保険に加入していれば損失が発生した際に補償されると考えています。しかし、組織が自身を守るために適切な措置を全て講じたことを証明できない場合、 保険が損失を補償するかどうかは不確実です。 

支払詐欺から自社を守るために何ができるか

幸いなことに、支払いやデータを保護するための方法は数多くあります。以下のアドバイスをご参照ください。

1. クラウドを活用する組織は支払いやシステムの安全性を高めるために、クラウド技術を積極的に採用すべきです。IT 部門は、支払データやコネクティビティが外部でホストされる方がより安全であることを認識しています。
   
   

2. 全部門の連携を図る社内の IT 部門だけでなく、財務、買掛金、シェアードサービスなど、支払処理に関わる主要部門をすべて、企業のセキュリティポリシーに沿ったものにする必要があります。リモートワークを許可する企業が増えている中、企業はすべての従業員が強力なパスワード、セキュリティポリシーの管理、多要素認証、IP フィルタリング、シングルサインオン、データ暗号化などの効果的な保護策を確実に利用していることを確認する必要があります。
   
   

3. 支払プロセスを自動化し、管理を標準化する自動化により、企業は最初の請求から支払受領までの支払処理を標準化することができます。リスクは標準化された手続きの例外、つまり標準的なフォーマット以外の方法で支払いがなされた時に発生します。これらは通常、合併や買収、法的手続き、緊急の給与支払いなどに関する、一度限りの緊急の支払依頼です。
   
   

4. リアルタイムのスクリーニング、アラート、通知をオンにする 当日払いやリアルタイム支払いシステムの普及により、不正行為へのリアルタイム対応の必要性が高まっています。 最新の不正検知ソフトウェアは、AI と機械学習を利用して、過去の支払データと照らし合わせながら支払いをスクリーニングし、異常を特定します。
   
   

5. 不正防止ワークフローを導入する最新の支払詐欺防止モジュールは、未解決の不審な支払を処理するための、完全に自動化したE2E (End-to-End)のワークフローをサポートしています。ユーザーは、検出された支払いごとに管理方法を決めることができ、検出された支払いの申請者、承認者、および審査者間の職務を徹底することができます。
   
   

6. ベンダーについての理解を深める ベンダーは貴社にとって大きなリスク要因になる可能性があります。 ケースによっては、ベンダーは顧客のネットワーク認証情報へのアクセスを許可されることがあります。 もしそのベンダーのセキュリティプロトコルに不備があれば、知らないうちにその顧客のシステムへの裏口となる可能性があります。 このようなプロトコルの不備は、実際に 米小売大手のターゲット社の情報漏洩事件として 2013 年に起きたことです。 情報セキュリティに関する詳細な質問事項を用意することは非常に重要であり、ベンダーが実施しているガバナンスおよびリスクマネジメントプログラムに対する信頼を高めます。 また、組織は、支払指示の変更依頼があった場合には、取引が完了する前に直接ベンダーに確認する必要があります。

リスクを軽減し、支払いを守るためには、組織には ERP、社内フレームワーク、外部システムを統合したソリューションが必要です。これにより、開始から終了まで、安全な支払プロセスを確保できます。例外が発生した場合、その要求がどんなに緊急な依頼であっても、プロトコルを無視してはなりません。支払いに携わる部署は、些細なミスが資金の損失、雇用の喪失、そして組織全体の評判の失墜につながる可能性があることを理解する必要があります。

Kyriba で支払いを守る

Kyriba の不正支払防止の機能は、標準的な支払管理を強化するために設計された、高度なリアルタイムの不正検知および防止モジュールを提供しています。 

Kyriba の強固な不正防止の機能は、最近発生した CEO 詐欺事件を未遂で阻止したことで注目を集めました。 CEO になりすました人物からの 800 万ドルの電信送金の依頼は、トレジャリーの従業員の慎重な対応と、Kyriba の不正防止策により阻止されました。この不正防止策では、複数の従業員による支払処理と、支払金額に対する権限制限の適用が義務付けられていました。

Kyriba のシステムでどのようにして 800 万ドルの支払詐欺を阻止することができたのか

この CEO 詐欺未遂事件は、CEO を名乗る人物からのメールで始まりました。 幸いにも、大手 不動産 開発業者のトレジャリーは、不正や不正確な支払いのリスクを減らすための効果的な支払手続きを確立しようと、熱心に取り組んでいるところでした。 これらの方針には、内部統制、情報技術、企業文化、モニタリング・コンプライアンスが含まれていました。

• 詐欺の手口: 会社のトレジャラーが休暇中、トレジャリーの副担当者が CEO を装った人物からメールで連絡をうけ、イギリスに拠点を置く企業の買収を円滑に進めるために 800 万ドルの電信送金を要求されました。そのメールでは、取引の機密性が強調されており、トレジャリーの副担当者にその送金依頼を他の誰にも開示しないようにと指示していました。そのメールは CEO の文体に非常によく似ており、説得力がありましたが、トレジャリーの副担当者はすぐに、さまざまな理由から電信送金を実行することは不可能だと判断しました。トレジャリーの副担当者が、この懸念を説明するために CEO のオフィスに行った際に、電信送金の依頼が詐欺であることが明らかになりました。 

• 詐欺を未然に阻止: 同社が社内の支払詐欺防止策を維持するために Kyriba のシステムを利用していたことが、この詐欺を未然に防ぐ上で重要な役割を果たしました。同社が確立した管理体制と、それをより強化したKyriba ： 

  • 支払処理は、1 人ではできないことになっていました。同社では、Kyriba の設定上、すべての支払処理に少なくとも 3 人の別々の従業員が関与しなければなりませんでした。1 人の従業員が支払請求を出し、1 人の従業員が支払処理を行い、最後の従業員が支払いを承認/実行する、という決まりでした。

  • 同社では、各従業員が承認できる支払額の上限を制限する権限制限を設けており、800 万ドルという金額はトレジャリーの副担当者が Kyriba のシステムで処理できる権限の範囲を超えていました。 トレジャリーの副担当者が電信送金を実行するには、より高い限度額を持つ人物の承認が必要だったのです。 

職務分掌、支払承認限度額、銀行管理をサポートする Kyriba の機能により、この大手不動産開発業者は 800 万ドルの損失を回避することができました。

また、Kyriba は、あなたの組織における不正行為の防止にも役立ちます。Kyriba Enterprise Security のようなソリューションを活用することで、財務・支払・リスクに関するデータが社内のセキュリティ方針や国際的なセキュリティ基準を確実に満たし、24 時間 365 日、世界中どこからでもサポートを受けられる体制が整います。Kyriba の不正支払の防止機能には以下が含まれます。 

• 不審な支払いのスクリーニング: ブラックリストに載っている国への送金、新規のベンダーへの支払い、または設定された限度額を超える支払いなど、事前に設定された検出ルールに基づいてスクリーニングを行います。 

• AI と機械学習アルゴリズム により、過去の支払いパターンと照合しながら、不審な取引を効果的に特定し、より詳細な調査のために一時的に隔離します。 

• 包括的な解決ワークフロー により、組織のポリシーに従ってアラートのカスタマイズや検出された支払いの管理が可能になります。このポリシーには、職務分掌や問題が解決するまでのシナリオに基づく支払いの停止などが含まれます。 

• API ドリブン型のコネクティビティ・プラットフォームを通じて、銀行口座の保有状況をリアルタイムで確認し、 企業の支払方針への遵守を確実にすることで、BEC 詐欺やその他の巧妙な詐欺未遂に対する保護を一段と強化します。

Kyriba がどのようにして顧客の 支払いを守り、 スピードを加速しているかをご覧ください。