Scammed or hacked? Overview of common fraud techniques and the corporate response playbook (Japanese)

Dentons
Contact

Dentons

誰もがSCAM(本稿ではビジネスメール詐欺、詐欺メール・詐欺サイト等を想定しています)やサイバー攻撃の脅威にさらされています。SCAMを働く詐欺集団はその手口を高度化するとともに、ターゲットの規模をも拡大してきました。彼らは、ごく一般的な中小企業よりも、はるかに強固な防御対策を講じ、高度な研修を受けた従業員が在籍するような多国籍企業や金融機関等をしばしばターゲットにします。

SCAMやサイバー攻撃の被害を受けた企業は数多の結果を引き受けなければなりません。たとえば不正な取引や会計情報や個人情報の流出、重要なITサービスの接続遮断といった問題の解決に取り組む難題です。近時も次のような実例があります:

  • 2021年3月、国内の家具販売業者のシステムが攻撃され、顧客の電話番号及び住所がオンライン上に漏洩しました。システムの攻撃者たちは当該企業のデータベースに侵入し、3万人以上の顧客の60万件近い取引履歴を盗み出したと主張しました。
  • 2021年5月、報道によると、国内銀行の従業員がなりすまし詐欺に遭い顧客1,100名以上の氏名、個人識別情報、モバイル番号、残高の漏洩を生じさせたとされます。当該従業員は中国の捜査当局を騙った詐欺師にだまされ、シンガポール国内に口座を持つ中国からの顧客の情報を開示したとされます。

サイバー攻撃やSCAMの直接的な帰結とは別に、あらゆる種類の問題がたちまちのうちに生じ、被害に直面した企業の管理職・役員らは答えを出さねばなりません。例えば、責任の所在や何が問題だったかを判断するにはどのようにしたらよいのか、どのように当局に報告するのがよいか、顧客や株主に対してどのように伝えるのが適当か、詐欺師らの手に渡った資金を回収できるのか、なにを最初にすべきか、といったあらゆる種類の問題です。

本稿では、ビジネスメール詐欺等に広く確認される手口を概観した上で、被害のもたらす帰結や法的な責任の可能性に加え、とりわけ重要なこととして、実際にSCAM等の被害に直面した企業が課題にどう適応すべきかについて、簡潔な見取り図をお伝えしたいと思います。

広く確認される手口

  1. i. ビジネスメール詐欺(BEC)

ビジネスメール詐欺では、詐欺集団はターゲット企業にとって馴染みのあるベンダーや顧客と偽ってその従業員に接近します。こうした詐欺集団はしばしば、よく似た外観のメールアカウントを作成することでベンダーに扮したり、納入業者のメールアカウントを攻撃して乗っ取ったりします。詐欺集団はさらに、セキュリティ上の確認や承認をすり抜けるために、ターゲット企業のCEOや上級管理職の振りをしようと試みることもあります。

  1. ii. 架空請求

広く確認されるSCAMのもう一つの類型として、架空請求があります。ターゲット企業のよく知るベンダーの振りをして、架空の、もしくは手を加えた請求書や、当該ベンダーではなく詐欺集団の銀行口座に支払われるよう修正した支払先明細を付した請求書を作成します。

  1. iii. ランサムウェア

フィッシングメール、疑いのあるウェブサイトからのポップアップウィンドウ、そして添付ファイルをダウンロードするように求めるメールに記されたWebサイトのリンクをクリックするように仕向ける方法は広く確認されるもので、ターゲット企業の従業員をだまして職場のパソコン上に悪意あるソフトウェアをインストールさせようとします。ひとたびインストールされれば、詐欺集団はターゲット企業のデータを盗み出し、遠隔操作でデータファイルをロックして身代金が支払われない限りアクセスさせないことができるようになります。

SCAMとサイバー攻撃の潜在的な影響

SCAMやサイバー攻撃の犠牲になった場合、その帰結は膨大で多岐にわたるものになります。ターゲット企業の指揮命令系統上のあらゆる関係者に加え、従来及び潜在的な顧客層まで影響を被るおそれがあります。顧客の会計情報や個人情報を保護できなかった企業はレビュテーションリスクに直面するのみならず、被害を被った顧客に対して直接の法的責任を負う可能性がありますし、サイバーセキュリティやデータプライバシーに関するものを主とした各種規制の定める義務違反に該当するおそれがあることは言うまでもありません。守秘義務や受託者責任の問題も生じ得るものです。

  • i. 直接の帰結

詐欺に基づく送金や、不可欠なITシステムのロックを解除するために身代金を支払うような事態は、企業にとって損害や業務上の混乱が生じていることは明らかです。さらに当該企業は損害賠償や罰金すら支払うかもしれません。ノウハウや技術、デザインや営業秘密といった企業の知的財産が盗まれたかもしれず、とりわけクラウド上やサードパーティに預けている場合はサイバー攻撃に対して脆弱です。

顧客は個人情報が適切に管理されていることを前提に個人情報を託したのに、その個人情報が流出した場合、企業は当局や被害を被った個人に通知する義務があります(個人情報保護法Personal Date Protection Act (PDPA)26条Aないし26条C)。情報漏洩の結果直接の被害 または損 害が生じた者は、民事上の救 済を求める権利を有します(PDPA48条O)。その他にも、定量化するのは難しいですが、大規模なサイバー攻撃に直面した企業はすべからくレピュテーションの毀損に直面します。顧客や供給業者からすれば、ひとたびSCAMやサイバー攻撃に見舞われた企業に対して以前ほど信頼して機微にわたる情報やデータを提供することはできなくなるでしょう。

注目すべき例として、2017年9月、消費者金融に関する信用調査事業を営む米国系多国籍企業が、情報漏洩の結果1億4700万人もの個人情報が流出したと発表しました。当該企業はその後、米国連邦取引委員会消費者金融保護局(U.S. Federal Trade Commission, the Consumer Financial Protection Bureau)、 米国の50の州及び準州との包括的な和解に応じて、データ流出の影響を受けた人々の救済のために425百万US$の解決金を支払っています。

  • ii. 調査、その他間接的な帰結及び従業員個人の法的責任

被害を受けた組織は、再発防止や事故調査のために依頼する専門家に支払う費用や従業員を対象としたセキュリティやコンプライアンスに関する追加のトレーニングなどコストの増加にも直面するでしょう。貴重な執務時間が当該企業の本業ではなく、当局の調査協力のために割くことになるおそれもあります。

組織内部では必然的に、何が間違っていたのか、誰の責任なのか、責任がある場合にどの程度の懲戒処分が課されるのか、決めなくてはなりません。非があると判断された従業員と雇用主との間の関係が崩れることも珍しくありません。結果として当該従業員は自主的に退職するか、双方合意の上で雇用契約を解消することになるかもしれません。例えば会社の定めた手順や規則に従わなかったことで、特定の従業員に非があるとされた場合、当該従業員は雇用契約上の定めに基づき解雇される可能性があります。会社としては、不当解雇による法的責任を負うことのないよう、適切に内部調査(下記に詳述します)を遂行しなければなりません。以上はすべて、調査や人事に関わる会社のコストの増加に繋がります。

雇用主は、従業員が職務を遂行することによって生じた損害に対して法定の代理責任を負いますが(PDPA第53条をご参照ください。同条は、就業の過程で従業員が行ったまたは携わった行為は、PDPA法上、雇用者が知っていたか承認していたかにかかわらず、雇用者によって行われたまたは雇用者が携わったものとみなされると規定しています。)、データ漏洩や詐欺に基づく送金に責任のある従業員個人に対し、雇用主が請求することができるかについては議論の余地があります。従業員個人の責任を追及することにメリットがあるかどうか、また、雇用主がそのような行動を取ることに価値があるかどうかを判断することは、被害を受けた企業が検討すべき別の問題といえます。

予防は治療に勝る

SCAMやサイバー攻撃を行う詐欺集団を相手とした継続した戦いにおいては、従業員が最大の弱点となり得ます。高度なサイバー攻撃やシステムの攻撃に比べ、従業員を相手に社会工学の技術を悪用して利用して機密データを開示させたり、詐欺に基づく不正送金をさせたりすることは詐欺集団にとって費用対効果が高く、大抵の場合、容易なものです。そのため、SCAMや詐欺に広く確認される手口に対処できるよう、従業員を十分に訓練しておくことが重要です。これは、財務やデータ管理に携わる従業員だけでなく、会社の全従業員にとっても重要なもので、定期的な再教育も必要となります。

従業員が組織の「ソフトウェア」と「頭脳」である一方で、組織は同時に、サイバースペースにおいて生じる脅威から組織自身を守るための「ハードウェア」にも投資する必要があります。企業は、顧客をターゲットにした詐欺や個人情報の盗難などのリスクを軽減するために、ウィルスソフトやマルウェア対策ソフトウェア、その他のデジタル認証ツールを組み込むことが不可欠です。また、システムのセキュリティ状況の監視やインターネット空間からのアクセス遮断も有効な手段です。

企業の業務プロセスを監査することも、一貫した継続的な取り組みの一環として行う必要があります。これには、定期的な脆弱性評価の実施が含まれます。具体的には、(i)ITシステムのセキュリティ上の脆弱性を特定し、適時に解消すること、(ii)事前に特定されたリスクやインシデントが発生した場合に実行すると予め定められた計画や一連の対応について作成して見直すこと、がその内容です。

迅速な解決に向けた手引

会社にとって最も重要なことは、一番最初に体系的な計画を立てることです。これにより、対処すべき重要な問題を特定し、予算編製を助け、立場を不利にしかねないような落とし穴を避けることができます。

事案の中身や組織によって懸念事項は異なりますが、以下のステップが基本的な枠組みとなります。

  1. 事案の特定
  2. 優先順位の決定と評価
  3. 内部調査を含む行動計画の実行
  4. 被害回復を含む最終的な対応措置

1. 事案の特定

まず最初の一歩は、事案に関係する基本的な情報をまとめ、何が起こったのか速やかに特定することからはじまります:

a. 事案の性質
b. 疑義についての根拠の有無
c. 従業員の関与
d. 想定されるリスクに関する予備的な評価
e. 緊急性・優先度合いに関する予備的な評価
f. 主要なアドバイザー(法務、広報等)に対して現在の状況を共有

上記は事実認定のための包括的な手段ではありませんし、この段階が誰に非があるのか突き止める機会として利用されるべきものでもありません。上記の対応の目的は、単に当該企業の管理職や役員会が次に何をすべきか判断するために十分な情報を集めることにあります。

2. 優先順位の決定と評価

次の段階にステップである「トリアージ」とは、その名の通り、事案や疑義に対して会社のリソースをどの程度投入すべきかを決定する過程です。これは、疑義に対して早期に評価を行い、企業の意思決定の際に、適切な調査手法を十分に考慮してもらうためのものです。

主要な検討事項は以下の通りです:

a. リスクの分類 - 上級管理者による会社資金の不正流用や汚職をはじめとする高度なリスクの疑義か 、社内手続違反といった比較的リスクの低い事案か
b. 事案や疑義の重要性及び規模 – 一度きりの事案なのか、それとも再発のおそれのある事案か
c. 事案や疑義が事実だった場合、会社が被る財務的な影響、法的責任、レピュテーションリスクの有無
d. 上級職の関与 – 業務運営における信頼失墜を招きかねない上級管理職らの関与があるか

この段階で、取締役会や経営陣は、どのようなリソースを割くのかを決定する必要があります。例えば、違法なサイトへのアクセスのような影響度の低い事案であれば、通常の内部調査以上のものは必要とされないかもしれません。他方で、予備的評価の結果、影響の大きい事案であること(顧客の個人情報や会計情報の漏洩、知的財産の流出、ランサムウェア、不正なもしくは詐欺に基づく資金移動など)が判明した場合、経営陣は、リーガルアドバイザー、調査の専門家、フォレンジックの専門家、広報チームなどの外部アドバイザーを正式に起用することを検討すべきです。

この段階ではまた、事案の重大性に応じて、外部アドバイザー(弁護士、フォレンジック専門家、技術専門家、会計士など)の投入を検討することも適切です。直ちに実質的な作業を開始する必要は必ずしもありませんが、経営陣に対応範囲や対処すべき問題の概要を提供することが重要です。このようなアプローチは、調査コストを抑え、会社が損害を軽減するためにリソースをどのように配分するかについて、十分な情報に基づいた判断を下すのに役立ちます。

まとめると、この「優先順位の決定と評価」の段階では行動計画を具体的に入念に準備することに向けた作業が行われます。

3. 内部調査を含む行動計画の実行

アドバイザーの支援を得つつ経営陣によって策定された行動計画は、関連するあらゆる問題をカバーするものであるべきです。関連する問題のなかでも、以下の問題はとりわけ重要です:

a. 即時に行動すること

i. SCAM・セキュリティ侵害・情報流出の原因特定、コンピューターウィルスやマルウェア拡大阻止に向けてシステムの隔離、マルウェア・ランサムウェアの根絶に向けた補修作業
ii. 悪評に対応してプレスリリースを作成すること
iii. 開示や自己申告の義務。例えば、事案の内容が「汚職、薬物取引その他重大犯罪の利得没収法(Corruption, Drug Trafficking and Other Serious Crimes (Confiscation of Benefits) Act)」 などの反マネーロンダリング規制に基づき、もしくはシンガポール通貨 金融庁(Monetary Authority of Singapore)による通達に基づき、自己申告義務を生じせ しめるものかどうか。シンガポール証券取引所に上場している会社は、上場規則に基づき、一定の情報を開示する義務を負う余地
iv. 当局に対して報告書を提出するかどうかの検討
v. SCAMや詐欺に基づいて支払われた金銭を回復すべく取りうる緊急の措置の有無

b. 通常の内部調査では事案に関わる従業員、経営者、役員に対する聞き取り調査、コンピューター上の関連する記録の収集とフォレンジック調査、および詐欺によって得た収益の追跡(場合によっては裁判所への差止命令や資産凍結の申請)を行います。このような内部調査を実施するには、以下のとおり、広範な問題を検討する必要があります:

i. 調査手順 – 調査の過程で作成される記録が弁護士秘匿特権により保護される範囲に含まれ るかを検討することは最重要ポイントです。
ii. 法域が異なる場合の検討事項–法域によって弁護士秘匿特権の及ぶ範囲が異なり、その差 異を調査開始時点で把握することは重要です。他にも、どのような種類の書類が当局に押収され、依拠されるのか、自己負罪拒否特権があるのか、といった点を考慮すべきです。
iii. 特定の利害関係者に対してのみ、調査に関係する記録や書類の配布を限定すること
iv. 調査範囲 – 刑事か、規制上の対応か、民事の問題か予想できるか
v. 資料収集及び事実認定過程 - 社内弁護士によって実行するか、外部の弁護士に委任するか どうか
vi. 調査報告書の対象範囲 – 事案の原因及び潜在的な危険性の特定、対応策・改善措置の助言

c. 当局・規制当局への協力

i. 当局・規制当局の調査を受ける可能性を考慮にいれた行動計画であるべきです。
ii. 自発的な協力が損害軽減として見なされたり有利に斟酌されることを前提に、各種の特権を放棄して当局に対して提出するかどうかについて助言を得るべきです。
iii. 当局のエンフォースメント手続に関しては、組織が従業員の行為に対して法的責任を負うか、責任を免れる権利があるかどうかについて検討しなければなりません。

4. 被害回復を含む最終的な対応措置

この段階は、規制対応の報告書、保険の請求、民事裁判、関与した従業員に対する懲戒手続、その他広報活動のマネジメントや顧客への通知といった問題のための資料準備に大幅に関わることになります。言うまでもなく、管理職にとっては、再発を防止して防御策を向上させるために得られた教訓を実施することもまた重要となります。

結論

最善の努力にもかかわらず、SCAMやサイバー攻撃の犠牲になってしまうことは完全には防げません。しかしながら、こうした可能性を低減させる予防策は構築可能であり、実施されなければなりません。重要性のより高いこととして、ひとたび事案が発生すれば、潜在的な法的責任を軽減し、損害を可能な限り押さえるために必要なあらゆる手段を講じることが必要となります。

社外の弁護士や専門家に対して具体的な行動計画策定に関して早期にアドバイスを求めることは、費用や支払を無駄に発生させることとは異なります。外部のアドバイザーに広く業務範囲を具体的に決定する前に、段階的に報酬を取り決め、初期段階で必要な業務範囲を確定し、予備的に想定される問題点の査定をすることも可能です。

反対に、具体的な行動計画がないまま進めれば、全方位にわたる複雑さが不必要にもかかわらず生じてしまったり、不適切なプロセス管理に陥ったりしかねません。たとえば多くの組織が弁護士秘匿特権を考慮した手法を採用せずに独自の内部調査を進めてしまい、残念なことに後になって内部の記録が弁護士秘匿特権の範囲外であると判明して、民事手続や当局対応において開示せざるをえない事態に陥っています。

本稿がサイバー攻撃やSCAMに関する事案への対応について幾ばくかでも参考になれば幸いです。当事務所はこうした事案のサポートから、改善策のディスカッションまで喜んで対応いたします。

デントンズ・ロダイク法律事務所は、本稿執筆に協力してくれたインターンのCaleb Gohに対し感 謝申 し 上げます。

【日本語版翻訳】デントンズ・ロダイク法律事務所
シンガポール国弁護士Ng Sook Zhen / ン・スジェン
日本国弁護士 Yasuhiko Tanabe / 田辺泰彦 (現在弊所に出向中)

DISCLAIMER: Because of the generality of this update, the information provided herein may not be applicable in all situations and should not be acted upon without specific legal advice based on particular situations.

© Dentons | Attorney Advertising

Written by:

Dentons
Contact
more
less

Dentons on:

Reporters on Deadline

"My best business intelligence, in one easy email…"

Your first step to building a free, personalized, morning email brief covering pertinent authors and topics on JD Supra:
*By using the service, you signify your acceptance of JD Supra's Privacy Policy.
Custom Email Digest
- hide
- hide

This website uses cookies to improve user experience, track anonymous site usage, store authorization tokens and permit sharing on social media networks. By continuing to browse this website you accept the use of cookies. Click here to read more about how we use cookies.