Cyber Security Intelligence Vox

RocketBoysは『タイ国家警察（Royal Thai Police）は2025年5月9日、タイ国内で活動していた日本の有名企業を標的にした国際詐欺グループの摘発を発表しました。このグループは、タイ人と西アフリカ出身者が協力し、日本企業から合計2億2800万バーツ（10億円相当）を不正に送金させた疑いがあります。』と報道している。

『摘発されたグループは、合法企業を装った上で、日本企業との商取引を偽装し、ビジネスメール詐欺（BEC）の手法を使って日本企業から資金を騙し取っていました。 振り込まれた資金のうち、1300万バーツ(約5400万円)が引き出されましたが、大部分は迅速な対応で凍結。現在、引き出された資金についても回収が進められています。』と報告している。

この国際的な犯罪グループは、タイ国内に正規の法人を設立し、日本企業との信頼を得た上で、偽の請求書を送付する手口で資金をだまし取っていた、との事ですので、詐欺被害が発生しそうな背景がありました。

このビジネスメール詐欺ですが、企業間の取引メールを乗っ取る、または偽装することで金銭を騙し取るサイバー犯罪です。特に、取引先企業のメールアカウントを乗っ取る、または偽装ドメインを用いて信用させたうえで、請求書の振込先口座を犯罪者の管理する口座へ変更させて、振り込ませるというものです。

取引先企業側は、もっともらしい理由で口座が変更されたと勘違いし、確認することなく、振り込んでしまう、ということになります。

この口座情報を含む、顧客情報の変更に対して無防備な企業が被害にあう事になります。

情報セキュリティの世界では、個人の認証も含めて、信用するために「多要素による確認」を行う事が大切である、とされていて、メールで情報変更があった場合、メール以外の（電話や対面などの）手段で確認する事を推奨しています。

https://rocket-boys.co.jp/security-measures-lab/bec-scam-group-defrauds-1-billion-yen-from-japanese-firms/

日本企業狙った詐欺グループを摘発 -ビジネスメール詐欺（BEC）で約10億円を騙し取る