ベルトラ株式会社は2月6日、同社子会社での資金流出について発表した。
これは1月上旬に、同社子会社 リンクティビティ株式会社の従業員に対し、リンクティビティの代表者を装った悪意ある第三者から社外の連絡先(SNS アカウント)へ誘導するメールが届き、その後、当該SNSを通じて当該子会社の経理担当者に虚偽の送金指示が行われ、当該従業員が社内の銀行届出印を持ち出し、銀行窓口で振込手続を行った結果、当該子会社から第三者の指定する銀行口座へ約5,000万円を送金したというもの。
送金完了後に社内確認の過程で、当該指示が虚偽であること、犯罪に巻き込まれた可能性が高いことが判明したという。
リンクティビティでは、管轄の警察署へ被害を相談するとともに、関係金融機関に事故の報告及び振込先口座の凍結依頼を行うなど、被害回復に向けた措置を講じている。
なお、本件に関する社内調査は既に完了し、原因の特定に至っていることから、第三者委員会の設置は予定していない。
同社グループでは、原則として電子決済(ネットバンキング)を標準的な業務フローとしていたが、例外的な処理である「銀行窓口での振込」及びそれに用いる「銀行届出印の管理」に関する詳細な規程・承認フローが未整備であったことが根本的な原因であるとし、さらに非対面ツールを用いた緊急指示に対する真偽確認プロセスの欠落、及び心理的な隙を突く攻撃に対する組織的な牽制機能の脆弱性が、悪意ある第三者の介入を許す要因となったとしている。
同社グループでは下記の再発防止策を実行するとのこと。
1.通信手段及び本人確認の厳格化
業務用通信ツールの認証強化(パスワード管理、二段階認証)に加え、メールやSNS等の非対面ツールによる送金指示に対しては、電話など異なる通信手段による本人確認(コールバック)を義務化し、なりすましの排除を徹底。
2.決済承認プロセスの明確化と規程の改定
「銀行窓口での振込手続」及び「銀行届出印の管理」について、代表者または正規権限者による直接承認のための手続きを明確にするため、関連する社内規程及び業務フローを改定する。
3.従業員に対する不正検知・防犯教育の徹底
同社グループ全役職員を対象に、ビジネスメール詐欺(BEC)等の最新手口に関する教育・訓練を定期化。
4.金融機関との連携強化
取引金融機関とは不正送金対策に関する情報共有を継続し、万が一の事態における早期検知及び即時対応が可能な協力体制を構築。
5.心理的安全性の確保と報告・相談文化の定着
「役員からの指示であっても、不審点は即座に確認・相談することが正当な業務遂行である」という認識を全社に浸透させる。
同社グループでは、経営監視責任および業務執行責任を明らかにするため、対象となる役
員より下記の通り役員報酬の自主返納の申し出があり、これを受理している。
ベルトラ代表取締役社長兼CEO:月額報酬の30%(2ヶ月間)
ベルトラ取締役CFO:月額報酬の20%(1ヶ月間)
リンクティビティ代表取締役:月額報酬の20%(1ヶ月間)
なお、同社グループでは、本件による流出額は約5,000万円だが、最終的な損失額については、被害資金の回収の可能性や保険適用の可否等を含め、現在詳細を精査中とのこと。
