企業を狙い、偽の振込口座を伝えて多額の金銭を詐取する「ビジネスメール詐欺(BEC:Business Email Compromise)」。昨年末(2017年12月)には日本航空(JAL)が2件のビジネスメール詐欺で合計4億円近い被害を受けていたことを公表し、同様の詐欺メールがスカイマークにも送られていたことが報じられている。
情報処理推進機構(IPA)や警察庁、全国銀行協会なども注意喚起の呼びかけを行っている。ビジネスメール詐欺は決して大手企業だけを狙うものではなく、中堅中小企業であっても十分な注意が必要だ。
警察庁もビジネスメール詐欺への注意を呼びかけている
しかし、犯罪者たちの手口は日々巧妙化しており、「自分だけはだまされない、大丈夫」と思い込んでしまうと危険かもしれない。企業はどのように備えればビジネスメール詐欺の被害を防ぐことができるのだろうか。シマンテックの滝口博昭氏に聞いた。(インタビュー実施日:2018年2月5日)
シマンテック マネージドセキュリティサービス 日本統括の滝口博昭氏
ビジネスメール詐欺の手口と、新たな動向
ビジネスメール詐欺は目新しい攻撃手法というわけではない。たとえばシマンテックでは2015年12月の公式ブログ投稿において、中小企業の財務担当幹部を狙ったビジネスメール詐欺が多発していることを取り上げている。自社のCEOや顧問弁護士を装い、「至急ここに送金してほしい」と偽の口座を教える手口だ。
2015年のシマンテックのブログ記事。フィッシング詐欺よりも“大物”を狙うという意味で、当時は「ホエーリング詐欺」とも呼んでいた
米FBIのまとめによると、グローバルでのビジネスメール詐欺の被害額は、2013~2015年の3年間で12億ドル(およそ1280億円)を超える。またトレンドマイクロでは、2016年末までの累計被害額として50億ドル(およそ5320億円)という数字を挙げている。そして、こうした詐欺メールが、英語圏から日本語圏へとターゲットを拡大してきたのがこの2、3年の動きということになるだろう。
サイバー犯罪者たちはなぜビジネスメール詐欺に着目するのか。その理由は単純で、企業をだませば稼げる(詐取できる)額が大きいからだと、滝口氏は語る。
「個人ユーザーのクレジットカード情報を入手しても、そこから得られる額はたかが知れている。それならば、一件でもだませればより大きな額が稼げるビジネスメール詐欺を、という発想。犯罪者たちにとっては金を稼ぐ手段のひとつにすぎない」
スパムメールほどの規模ではないものの、こうした詐欺メールは経理担当者のアドレスを狙って“ばらまき型”で送信されるため、中小規模の企業でもそれを受け取る可能性があるという。メールの内容は、どの会社でも通用しそうな汎用的なものであり、「至急対応してほしい」としてターゲットに確認や問い合わせの時間を与えないようにしている。
一方で滝口氏は、あくまでも報道から得られた情報からの推測と前置きしつつも、日本航空が被害に遭った詐欺事件については、上述したような手口とは少し様相が異なることを指摘する。この事件では、正規の取引先とのやり取りの最終段階になって、その取引先を装った攻撃者が偽の請求書(先に送られた正規の請求書の「訂正版」)を送付することで、金銭が詐取されたと報じられている。
「攻撃者は、正当な取引先とのやり取りの最後のタイミングを見計らっていた。このようにウォッチング(監視)されていたということは、それ以前からマルウェアに感染していた可能性もある。これはむしろ『標的型攻撃』そのものと言ってよいかもしれない」
正規のやり取りの最終段階で偽の指示メールを差し挟むこの攻撃手法は、シマンテックの海外顧客でも確認されたという。事後調査を行ったところ、その顧客からはやり取りの監視を可能にするようなマルウェアの感染は発見されなかった。そのため、取引先側がマルウェアに感染しており、やり取りが監視されていたのではないかと結論づけている。
「正規の取引先とのやり取りをずっとウォッチされ、最後の段階だけメールを差し替えられれば、気づくことは不可能に近いだろう」
技術的な対策は可能か?
こうしたビジネスメール詐欺の被害を、ITセキュリティの技術で防ぐことはできないのだろうか。滝口氏は、直接的な対策はかなり難しいと説明する。
「ビジネスメール詐欺の原因を考えると、最終的には(何かを信じ込んでしまうという)“人”の脆弱性に行き着く。また、銀行口座への送金プロセスはITとは離れた世界であり、正直なところ技術的な対策を行うのはかなり難しい」
そもそも、攻撃の起点となるメールについても、ビジネスメール詐欺の場合はフィッシングサイトのURLやマルウェアが含まれるわけではなく、メール本文(あるいは添付ファイル)に嘘の内容が書かれているだけだ。これを技術的に検知することは困難だろう。
技術的にできるとすれば、送信元アドレスの偽装を検知してユーザーに注意を促すことだろう。IPAによると、同機構が把握した4件のビジネスメール詐欺事例では、正規の取引先アドレスに酷似した偽のアドレスが使われていたという。こうした偽装を見抜くのは、人間よりもITのほうが得意だ。
IPAの注意喚起サイトより、偽装メールアドレスのパターン
滝口氏も、将来的にはメールのやり取りを学習し、偽装アドレスにすり替わった場合は注意を促すような技術が出てくるかもしれないと語る。しかし、現状で取れる技術的対策については、やはりこれというものが難しいようだ。特にビジネスメール詐欺の場合、自社だけでなく取引先でも同レベルの対策を進めてもらう必要があり、それも難しさの要因となっている。
「技術的対策のひとつとしては(送信元アドレスの偽装を検知できる)ドメイン認証の導入が提案されている。たしかに長期的に見れば『あるべき姿』かもしれないが、すべての企業ですぐに導入を、というのは難しい」
加えて、前述したような標的型攻撃に近いビジネスメール詐欺で、すでにPCが攻撃者に乗っ取られているならば、正規の送信元から詐欺メールを送信することもできてしまう。この場合はドメイン認証などの技術も効果を発揮できない。
「人」の対策はもちろん重要、だが……
技術的な対策が難しい以上、現状ではだまされないように「人」が注意するしかない。それも、ITやセキュリティの担当者ではなく経理担当者や経営層の「人」だ。
「NISC(内閣サイバーセキュリティセンター)が『サイバーセキュリティは全員参加』という標語を掲げているが、まさにそれだと思う。IT担当者は知っていても、経理担当の人はビジネスメール詐欺、BECなど知らないかもしれない。企業規模を問わず、まずは狙われているのが経理担当者であること、こうした詐欺事件が発生していることを知っておいてもらうだけでも、不審なやり取りに気づく可能性が高まる」
加えて滝口氏は、広報担当者や人事担当者なども狙われる可能性があると指摘した。直接金銭を詐取しなくとも、株価に影響を与えるような未公開情報を上場企業から入手すれば「稼げる」からだ。自社の“資産”となる情報がどこにあるのかを基軸に考えるとよいのでは、と滝口氏はアドバイスする。
また、IT/セキュリティ担当者や経理担当者などをまじえ、もっと社内で議論してほしいとも訴えた。たとえば現状の出金プロセスについて情報共有し、どこにリスクがあるか、どう変えればよりセキュアになるのかを話し合うことだ。そのうえで、ポリシーやルールといった仕組みとして組み立てていく。
「これまでの(出金などの)プロセスやポリシーを見直すレベルまで考えてほしい。たとえば、振込先の変更には管理者の承認を得るプロセスを挟む、一定額以上の振込を行う場合には必ずメール以外の手段で確認を取るルールにする、といったこと」
最後に、ビジネスメール詐欺は今後も続くだろうかと滝口氏に聞いてみた。
「彼らにとっての“成果”を挙げており、間違いなく続くだろう。特に日本はこれからオリンピック開催を迎えることもあり、注意が必要だ」
