請求書詐欺：ビジネスを偽造請求書から守る

主な手口

• • ウェブサイト、LinkedIn、または過去の正規な通信から収集した情報を使用して、実際の企業住所、電話番号、従業員名を含む実際の企業請求書にほぼ完璧なレプリカを作成します。
• • スプーフィングまたは類似した外観のメールアドレスを使用します。これは正規のベンダーに非常に似ています（例：「acmesupply.com」の代わりに「acmesupplyco.com」）。経理部門に直接請求書を送信します。
• • 社会工学やデータ漏洩で発見された、正規の過去の注文、プロジェクト、またはサービス契約を参照して、請求書をフォローアップ請求に見せかけます。
• • 会社が最近金融機関や支払い処理会社を変更したと主張して、ワイヤー転送、暗号資産、または新しい銀行口座の詳細への支払いをリクエストします。
• • ソフトウェアライセンス、メンテナンス契約、オフィス用品、ユーティリティなどの一般的な繰り返しサービスの請求書を発行します。これらは承認チェーンが不明確であったり、委譲されている可能性があります。
• • 「未払い」「期限超過」「[日付]までに支払い必須」などの時間的に緊迫した言葉を使用して、徹底的な検証手順なしに迅速な処理を促します。

見分け方

• 請求書がベンダーの既知の連絡先メールアドレスとわずかに異なるアドレスから到着するか、企業の確立された支払い方法ではなくワイヤー転送のような異常なチャネルを通じて支払いをリクエストしています。
• 請求書に、そのベンダーからの以前の正規の請求書と比べてフォーマット、文法、または企業ブランドの軽微な矛盾が含まれている、またはロゴの品質がわずかに悪く見えます。
• 企業が、部門が注文したことを覚えていない商品またはサービスの支払いリクエストを受け取る、またはその請求書が内部システムで見つけることができないプロジェクトまたは契約番号を参照しています。
• ベンダーが長年同じ銀行口座の詳細と支払い条件を使用しているにもかかわらず、新しい銀行口座、別の住所、または代替の支払い方法への支払いをいきなりリクエストします。
• 請求書が一般的な請求言語（「提供されたサービスに対する請求書」）を使用している、または実行された作業の具体的な説明、成果物、タイムライン、またはプロジェクト範囲に関する詳細が不足しています。
• 請求書が通常の営業時間外に到着するか、通常は月間請求書をまとめるベンダーからですが、これは緊急の単一リクエストとして到着します。

身を守る方法

• 経理スタッフが請求書ではなく社内記録から得た電話番号またはメールアドレスを使用してベンダーに直接連絡してから、設定された金額以上の支払いを処理するようにするベンダー検証プロトコルを確立します。
• 購買注文、納品伝票、請求書を支払い承認前に比較する三方一致システムを実装し、商品の受領またはサービスの提供に関する文書化された証拠を要求します。
• 確認された銀行口座の詳細と支払い指示を使用して、承認されたベンダーのホワイトリストを作成し、このリストの外側の口座への支払いをリクエストするすべての請求書に手動確認のためのフラグを立てます。
• 経理および調達チームに社会工学的戦術と請求書詐欺の赤旗を認識するよう教育します。四半期ごとのリフレッシャーセッションを実施し、実際の詐欺の試みの例を含めます。
• DMARC、SPF、およびDKIM認証を使用して送信元のアイデンティティを確認するメールセキュリティツールを使用して、スプーフィングされたベンダーアドレスを検出し、既知のベンダーからのメールが認証に失敗したときにアラートを実装します。
• 異常な支払い方法（ワイヤー転送、暗号資産、ギフトカード）をリクエストしている請求書や、新しい銀行口座の詳細への支払いについては、送信者が信頼できるベンダーを装っている場合でも、口頭確認または対面確認を要求します。

実例

よくある質問

通報窓口 — 日本

お住まいの地域でこの詐欺を通報できる公式窓口。