再び高まる支払詐欺リスクを軽減する(2024年11-12月号)
ジョン・ハインツ[*]
数年間にわたり攻撃が減少してきた後、企業は支払詐欺の増加に気づき始めている。詐欺師が最も一般的に狙うのは小切手と ACH (Automated Clearing House:米国自動決済センター)デビットである。金融専門家協会 (AFP) による『2024 年支払詐欺・統制調査レポート』によると、組織における支払詐欺未遂と支払詐欺実現率は、前年の 65% から 2023 年には 80% に急増し、2018 年の最高値 82% からの着実な減少に終止符が打たれた。組織の 51% が盗まれた資金の半分未満しか回収できていないことを考えると、支払詐欺は依然として重大なリスクであり、組織全体で包括的に対処するのが最善である。
「1つの支払チャネルで詐欺が発生した場合、組織の他のチャネルでも詐欺が発生する可能性が高くなります」と、データ・ AI 企業 SAS の企業・金融犯罪主任コンサルタントであるダニエル・バータは述べている。特にオンラインアカウントの乗っ取りの場合、「彼らは今や王国への鍵を握っている」と同氏は付け加えた。
企業は、高度に洗練された技術から、郵便盗難を減らすために紙の小切手による支払を郵便局に届けるといった基本的な詐欺抑止戦略まで、さまざまな防御策を講じている。こうした対策にもかかわらず、詐欺師も最近は取り組みを強化している。
詐欺の標的を特定する
AFPの調査によると、小切手詐欺の実現または未遂を経験した企業は65%で、前年の63%から増加し、ACHデビット詐欺を報告した企業は33%で、30%から増加している。回答者の25%未満が、電信送金、法人および商業用クレジットカード、ACHクレジット、または詐欺の試みの対象となるその他の方法に関連する詐欺を挙げており、いずれも2022年から減少している。
詐欺師は長い間小切手を狙っており、企業は小切手の使用を減らすよう努めてきたが、調査回答者の75%は小切手の使用を継続しており、約70%は今後2年間で小切手の使用をやめる予定はない。
「過去数年間、業界全体で見られるのは、小切手の作成と処理の数は減少しているにもかかわらず、小切手詐欺の試みの数は増加しているということです」とバータは述べている。彼はさらに、(偽造小切手とは対照的に)盗まれた小切手は、すでに発行されたものであり、適切な署名や認証に通常使用されるその他の情報が記載されているため、検出が難しいと付け加えた。
AFP は、連邦準備制度理事会が処理する小切手の量が過去 5 年間で 8% 減少しているにもかかわらず、FinCEN(金融犯罪捜査網) は小切手に関連する不審な活動報告の数が過去 3 年間で 40% 増加したと報告した、と指摘した。
犯人は頻繁に、小切手の受取人情報を改ざんしたり、小切手のルーティング番号(アメリカの銀行コード)を使用して不正な ACH デビットを作成したりする。これにより、ほとんどの企業や金融機関が現在自動化されたオンライン詐欺に注力しているため、すぐに検出するのが難しい不正な支払や不正な取引が発生する可能性がある、と イクイファックス(消費者信用情報会社)傘下カウント社顧客分析ソリューション提供担当取締役ブレイディ・ハリソンは述べている。
詐欺対策を実施する
ACH 詐欺の増加は郵便盗難の増加に直接関係している可能性があるため、AFP の財務サービス・支払担当取締役トーマス・ハントは、盗難小切手の発生を減らす最も直接的な対策は、近くの青い郵便箱から郵便配達員に小切手を受け取ってもらうのではなく、それらの郵便物を大きな郵便局の投入ボックスに入れることだと述べている。小切手の使用を継続する予定の買掛金チームは、小切手による支払が追跡可能であり、適切な管理が実施されていることを確認する必要がある。
盗難または不正に操作された小切手を検出するための重要なツールは、ほとんどの銀行が顧客の小切手の正当性を確認するために提供しているポジティブペイサービスである。「これは銀行が企業に提供するサービスですが、多くの企業はそのシステムに関して十分には理解していないか、銀行に送信するのに必要な支払ファイルを作成していません」とハントは述べた。不正なACH支払を削減するための他の対策には、ACHデビットフィルターを使用している指定口座を除くすべてのACHデビットをブロックすること、また商業ACHデビットのデビットフィルターを組み合わせたすべての消費者向け商品のデビットをブロックすることなどがある。
AFPの調査回答者のほぼ3分の2(65%)は、小切手を偽造したり法人カードを盗んだりする人など、社外の個人の行動が会社での支払詐欺の原因であると報告しており、2022年の54%から増加している。ただし、企業はビジネスメール(BEC)詐欺の制御においては進歩しているようである。これは、実現した支払詐欺または試みられた支払詐欺の2番目に多い原因である。 2023 年には、回答者の 38% が BEC 詐欺を経験している。これは前年の 53% と比較して減少している。
BEC 関連の詐欺が減少していることは、組織が従業員にメールフィッシング攻撃や、より標的を絞った潜在的に損害を与える BEC 攻撃を識別するための訓練をより徹底的に行っていることを示している。しかし、ハリソンによると、カウントは、人工知能を使用してターゲットの家族、友人、同僚の音声やビデオを複製し、従業員を騙して機密情報を漏らさせたり、誤ってマルウェアをインストールさせたりする、ますます巧妙なフィッシング攻撃を目にしている。
カウントは、このような攻撃から身を守るために、2 要素認証、暗号化、アカウント情報の急激な変更などの異常な動作を検出するためのアカウントアクティビティの定期的な監視など、強力なログインプロトコルを推奨している。さらに、財務部門は、サプライヤーとその管理を定期的に監査するなど、承認の複層化やその他の監視メカニズムを組み込むことができる。
企業の買掛金部門は詐欺に対して最も脆弱であると、ハントは指摘した。なぜなら、同部門は何千もの支払を処理しており、詐欺師が小切手、ACH、またはその他の支払方法の銀行口座の詳細を変更したことを、ベンダーがそれを受け取っていないと報告する15日または30日後まで認識しない可能性があるからである。
テクノロジーは詐欺師を有能にするかもしれないが、企業に対してもますます洗練された防御手段を提供する。バータは、企業は銀行の最新の詐欺防止機能をチェックして、顧客口座の異常な行動を監視すべきだと述べた。さらに、詐欺防止テクノロジープロバイダーは、企業が法人顧客のベンダーとベンダーの支払活動の異常な変化を検出するのを支援できる。これには、銀行口座情報の変更やその他の異常が含まれる可能性がある。たとえば、供給品の単価が市場価格と異なる場合や、ベンダーの口座変更を要求するために使用されたデバイスが詐欺を可能にした履歴がある場合などである。
リスクマネジャーはまた、自社の保険契約または自己保険が支払詐欺による損失をカバーするようにする必要がある、とハントは述べた。さらに、従業員は詐欺を防ぐために会社の方針と手順に従う必要があり、組織はそれらの方針を定期的に検証して更新する必要がある。リアルタイム決済が普及するにつれて、これは特に重要となる。なぜなら、銀行とその顧客が少なくとも数時間取引を精査する小切手とは異なり、リアルタイム決済システムまたは フェッドナウ(米国即時決済システム)を介して支払が行われると、資金は取り戻すことができないからである。
これらの方針と手順は、すべての支払チャネルに適用される必要があるとバータは述べている。銀行は重要な役割を果たすが、企業は職務責任の分離、サプライヤーや銀行口座の変更を行える人の監視など、社内対策を講じることもできる。「銀行側とビジネス側の両方で、リスクを管理するためのポイントがたくさんあります」と彼は述べている。「支払詐欺に対するリスクを管理するために、全員が気を引き締めて、各自の役割を果たさなければなりません。」
トピックス
詐欺、リスクマネジメント
注意事項:本翻訳は“Mitigating Resurgent Payment Fraud Risk ”, Risk Management Site (https://www.rmmagazine.com/articles/article/mitigating-resurgent-payment-fraud-risk ) November 2024,をRIMS日本支部が翻訳したものです。原文と和訳に相違があるときには、原文を優先します。本文中は敬称略です。
ジョン・ハインツはニュージャージー州を拠点とするフリーランス・ライター。