【速報】スリランカ政府、連続サイバー攻撃で3.1億円超が行方不明に|BEC攻撃の恐怖#
**スリランカ政府が短期間で連続したサイバー攻撃により、総額3.1億円を超える公的資金を盗まれたことが明らかになりました。**この事件は、政府機関であっても高度なサイバー攻撃から完全に身を守ることの難しさを浮き彫りにしています。
【結論】今回のニュースで分かったこと#
スリランカ政府は2026年4月29日、新たに約6,250万円(1億9,970万スリランカルピー)の米国郵政公社への支払いが数週間前から行方不明になっていると発表しました。これは、数日前に報告された250万ドル(約2.5億円)の財務省からの資金盗難に続く第2の事件です。
両事件はビジネスメール詐欺(BEC:Business Email Compromise)攻撃によるものとみられ、ハッカーがメールシステムや会計システムに侵入し、請求書の支払い過程で銀行口座や振込先を操作する手口が使われました。
なぜいま注目されているのか#
この連続攻撃が注目される理由は以下の通りです:
- 政府機関の脆弱性露呈:一国の財務省レベルでもサイバー攻撃を完全に防げない現実
- BEC攻撃の深刻化:FBIデータによると、メール詐欺攻撃は昨年だけで数十億ドルの損失を生んでいる
- 経済危機との複合問題:2022年にデフォルトを経験したスリランカにとって追い打ちとなる損失
米当局が支払いの未着を報告したことで今回の第2の事件が発覚しており、オーストラリア当局も同様の支払い異常を把握しているとの報告があることから、被害はさらに拡大している可能性があります。
技術的なポイントをわかりやすく解説#
BEC攻撃とは#
ビジネスメール詐欺(BEC)は、以下の手順で実行される高度なサイバー攻撃です:
- 侵入:ハッカーがメールシステムや会計システムに不正アクセス
- 監視:組織内の支払いプロセスや取引相手を調査
- 操作:正規の請求書処理の過程で、振込先口座を攻撃者のものに変更
- 実行:組織が気づかないまま、攻撃者の口座に資金が送金される
なぜ防ぐのが困難なのか#
BEC攻撃が特に危険な理由:
- 正規のプロセスを悪用:既存の支払い手順を巧妙に操作するため発見が困難
- 人的要因の利用:技術的な脆弱性だけでなく、人間の判断ミスを誘発
- 高い収益性:1回の攻撃で巨額の資金を奪取可能
私たちへの影響は?#
企業・組織への教訓#
- 多重確認体制の必要性:支払い承認プロセスの見直し
- メールセキュリティ強化:高度な脅威検知システムの導入
- 従業員教育の重要性:BEC攻撃の手口に関する定期的な研修
個人ユーザーへの注意点#
- 企業メールでの支払い指示には特に注意
- 口座変更等の重要な情報は別手段での確認を徹底
- 不審なメールの報告体制を確認
よくある疑問にお答えします#
Q: 2つの事件は関連があるのですか? A: 現在のところ関連性は不明です。国会議員のナリンダ・ジャヤティッサ氏によると、政府は両事件の関連性について調査中とのことです。
Q: なぜ政府機関でもこのような被害に遭うのですか? A: BEC攻撃は技術的な侵入だけでなく、人間の判断を利用する「ソーシャルエンジニアリング」要素が強いため、どれほど高度なセキュリティシステムを持つ組織でも完全な防御は困難です。
Q: 他国でも同様の被害は発生していますか? A: FBIの報告によると、BEC攻撃による被害は世界的に拡大しており、サイバー犯罪者にとって主要な収益源の一つとなっています。
まとめ:押さえておくべき重要ポイント#
- 短期間で3.1億円超の連続被害:スリランカ政府が数日間でBEC攻撃により巨額損失
- 政府機関の脆弱性:高度なセキュリティを持つ組織でも完全な防御は困難
- BEC攻撃の巧妙さ:正規の支払いプロセスを悪用する高度な手口
- 世界的な脅威:FBI報告では昨年だけで数十億ドルの被害
- 経済危機との複合問題:2022年のデフォルト経験国にとって追い打ちとなる損失
筆者の見解#
今回の事件は、デジタル時代における国家レベルのセキュリティ課題を象徴しています。技術的な防御だけでなく、人的要因を含む包括的なセキュリティ体制の構築が急務であることを示しています。特に財政危機を経験した国にとって、このような被害は復興への大きな障害となりかねません。
参考・関連情報#
このニュースは今後も続報が期待されます。スリランカ政府の調査結果や、国際的なサイバーセキュリティ対策の動向にも注目していきましょう。
