で約10億円を騙し取る.png)
タイ国家警察(Royal Thai Police)は2025年5月9日、タイ国内で活動していた日本の有名企業を標的にした国際詐欺グループの摘発を発表しました。このグループは、タイ人と西アフリカ出身者が協力し、日本企業から合計2億2800万バーツ(10億円相当)を不正に送金させた疑いがあります。
目次
事件の概要
警察によると、摘発されたグループは、合法企業を装った上で、日本企業との商取引を偽装し、ビジネスメール詐欺(BEC)の手法を使って日本企業から資金を騙し取っていました。
振り込まれた資金のうち、1300万バーツ(約5400万円)が引き出されましたが、大部分は迅速な対応で凍結。現在、引き出された資金についても回収が進められています。
逮捕された容疑者と捜査状況
今回の摘発では、タイ人5名と西アフリカ国籍の容疑者2名(ナイジェリア人・ガーナ人)の関与が確認されています。
-
タイ人5名はすでに逮捕・起訴
-
ガーナ国籍の容疑者(Mr. Ibrahim)も逮捕
-
タイ人1名とナイジェリア人1名が現在も逃亡中で、国際手配中
グループはタイ国内に正規の法人を設立し、日本企業との信頼を得た上で、偽の請求書を送付する手口で資金をだまし取っていました。
犯行手口:BEC(Business Email Compromise)型犯罪
今回の詐欺は、国際的にも急増しているBEC型詐欺に分類されます。
BEC型詐欺とは?
BEC(Business Email Compromise)とは、企業間の取引メールを乗っ取る、または偽装することで金銭を騙し取る犯罪です。
主な特徴は以下の通りです。
-
取引先企業のメールアカウントを乗っ取る、または偽装ドメインを用いる
-
正規の取引を装い、請求書の振込先口座を犯罪者の管理する口座へ変更
-
海外送金を絡め、資金回収を難しくする
-
表面上のやり取りは自然であり、詐欺だと気づきにくい
近年、BECは世界的に被害が急増しており、企業規模に関係なく標的となるリスクが存在します。
BEC詐欺への具体的な対策方法
この種の国際詐欺に巻き込まれないためには、次のような対策が有効です。
送金指示には「別経路」で確認を取る
-
メールだけを信用せず、電話や対面など別の手段で取引先に確認する
-
特に送金口座の変更連絡は慎重に扱う
メールドメインを常にチェックする
-
相手のメールアドレスのドメイン(@以降)を細かく確認
-
よく見ると、1文字違うだけの偽ドメインを使っているケースが多い
多要素認証(MFA)を必ず導入する
-
メールアカウントや重要システムにはID・パスワードだけでなく、追加の認証手段(MFA)を設定する
定期的な従業員教育を実施する
-
BEC型詐欺の事例を共有し、「送金指示メールは特に警戒する」文化を社内に根付かせる
セキュリティソフト・監視ツールを導入する
-
メールの偽装を検知できるセキュリティゲートウェイやEDR、異常な通信を検知できる監視システムを活用する
まとめ
タイ警察は、今回の摘発について
「タイを国際犯罪組織の拠点にさせないため、今後も厳しく取り締まる」
と強調しました。
今回の事件は、単なる国内詐欺ではなく、国際的な組織犯罪であり、企業の信頼性を逆手に取った悪質な手口です。
日本企業も、今後ますますBEC型詐欺に対する警戒と対策を強化する必要があります。
一部参照
https://thainews.prd.go.th/thainews/news/view/1110915/?bid=1
関連記事
Proofpointの設定が悪用され何百万通のフィッシングメールが送信される
中間者攻撃(AiTM攻撃)とは?多要素認証で防げない理由と対策を解説
ビジネスメール詐欺の実態と対策-巧妙な手口で信頼関係を醸成
偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング
情報セキュリティ用語の「Compromise」や「Compromised」の意味とは
Google Cloudが2025年に多要素認証(MFA)を必須に
フィッシング詐欺とは? 手口や対策を解説
証券口座の乗っ取りが急増-2カ月半で1454件、被害総額は約950億円超に
多要素認証で約99%のセキュリティリスクを削減できる Microsoftが発表
