日経クロステックは 7月9日、企業を襲うサイバー詐欺を決算資料から追う連載で、出光興産が 2020 年以降に累計 36 億円規模の被害を受けていたと報じました。舞台は香港拠点で、メール・チャット・ビデオ会議・電話などを組み合わせたなりすまし詐欺 (BEC 型) が使われたとしています。金額ベースではランサムウェア攻撃と並ぶ深刻な事象で、日本企業の海外拠点対策の甘さが改めて問われる内容です。
主なポイント
- 出光は 2020 年以降複数年にわたり被害を継続的に計上。連載記事は決算短信・有価証券報告書の記載から損失実態を追跡している
- 手口はビジネスメール詐欺 (BEC) を主軸に、チャットサービス・ビデオ会議・電話までを織り交ぜた多段階のなりすまし。生成 AI により音声・映像の偽装コストが下がっている点も後押し要因
- 香港拠点起点という点で、日本本社側の統制が届きにくいオフショア拠点の与信・送金プロセスが弱点として浮上
- 記事はサイバー詐欺 (Cyber Fraud) をランサム攻撃と並ぶ 2 大脅威と位置付け、日本企業の開示不足も指摘。IR 上の記載差から実態把握が困難になっている
- 対策として、送金プロセスのアウトオブバンド確認、権限分離、多要素認証の徹底、社内における BEC 訓練の常態化などが挙げられている