ESET/マルウェア情報局

米国のセキュリティ専門家に聞く、今後のサイバー犯罪の動向とは? (前編)

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「マルウェア情報局」に掲載された「米国セキュリティレポートから見えてくる、今後のサイバー犯罪の動向とは?」を再編集したものです。

 米国のデジタル化動向は、日本を数年先取りしていると言われている。つまり、米国の動向を的確に把握・理解しておくことは、今後の日本国内のデジタル化推進においてもきっと役立つだろう。そして、それはデジタル化と関係性の深いサイバー犯罪においても大きく変わることはない。キヤノンマーケティングジャパングループでサイバーセキュリティラボに所属し、海外の動向にも精通するキヤノンITソリューションズ株式会社 ITプラットフォーム技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボ 主管スタッフ 中濱 禎夫が米国のセキュリティ動向について前編・後編の2回にわたり解説する。

米国におけるサイバー犯罪の概況

 21世紀に入り20年が経過し、サイバー攻撃をはじめサイバー空間における犯罪は増加の一途をたどっている。そして、その傾向は当分変わることはないとも言われる。21世紀という時代は現実世界だけでなく、サイバー空間でも防犯への意識が強く求められる時代となった。実際、2020年も数多くのサイバー犯罪が発生している。その犯罪傾向について中濱は以下のように述べる。

「今回、解説するレポートは2019年の米国におけるインターネット関連の犯罪動向をまとめたものとなりますが、おそらく2020年度版はより多くの件数になっていることが予想されます。図1はFBIの下部組織であるIC3が発表した2019年における米国でのインターネット関連の被害件数のランキングです。」

図1:2019年、米国でのインターネット関連の被害件数
2019 Internet Crime Report(Internet Crime Complaint Center)より引用

「1位のフィッシング詐欺関連の被害が11.4万件で2位の倍近くとなり、他の被害件数を圧倒しています。この件数にはSMSを利用したスミッシングなども含まれていますが、犯罪者がさまざまな手段を用いて攻撃を仕掛け、実際に多くのユーザーが被害に遭遇していることがわかります。続けて図2は被害金額のランキングとなります。」

図2:2019年、米国でのインターネット関連の被害金額
2019 Internet Crime Report(Internet Crime Complaint Center)より引用

「被害金額のランキングで注目されるのは、被害件数では2.3万件で6位だったBEC(ビジネスメール詐欺)/EAC(アカウント侵害)が17億ドル(およそ1765億円)と群を抜いた1位になっていることです。1件あたりの金額に換算すると、7.4万ドル(およそ768万円)と非常に高額になっています。2位のConfidence Fraud(信頼詐欺)/Romance(ロマンス詐欺)の被害金額が1件あたりおよそ2万ドルであることと比較しても、BEC/EACの1件あたりの被害金額がいかに高額であるかがわかるでしょう。」

 全体を通して見えてくるのが、被害件数・金額ともに数多く発生しているということ。このようなサイバー犯罪が犯罪者にとって費用対効果が高いこと、そして犯罪の分業化が進んでいることなどがこのような傾向の裏にあるものと思われる。

ビジネスメール詐欺の動向、被害状況

 2019年の総被害金額が17億ドルに達するなど、FBIも危機感を募らせるBEC/EAC関連の犯罪。FBIの調査では、犯罪者はオフィスツールの定番であるMicrosoft 365(旧Office 365)やGoogle Workspace(旧G Suite)などにログインする従業員にフィッシングを仕掛け、アカウントを乗っ取ることがわかっている。中濱が図3をもとに、具体的な手口について解説する。

図3:犯罪者がBECを仕掛ける手順

「この手口の特徴はアカウントを乗っ取り、企業の従業員になりすまして送金の指示を行なうという点です。この手口が最初に確認された2013年ごろはCFOやCEOなど企業の要職へのハッキングやなりすましを行ない、送金の担当者に指示するといった手法が一般的でしたが、時間の経過とともにその手口も巧妙化してきています。

 最近はアカウントを乗っ取ることで過去のメールの履歴を把握し、より自然なやり取りを装うような手口も増えています。従業員にとって、普段からやり取りをしている相手から過去のやり取りに沿って送金依頼を受けた場合、その相手のアカウントが乗っ取られていると考える人は少数ではないでしょうか。このように、被害件数・金額の増加には犯罪者の手口が巧妙化していることが密接に関わっています。

 また、2020年の大きなトレンドである新型コロナウイルスに関連したビジネスメール詐欺も増えています。あるケースでは、組織内での新型コロナウイルス感染を受けて隔離や予防措置に必要な予算として、予定されていた送金について口座の変更と送金日の前倒しを要求するメールが届いたとのことです。未知のウイルスとして恐れられている新型コロナウイルスの名称が挙がれば、ほとんどの人が少なからず動揺を覚えることでしょう。そういった不安になる心理を犯罪者は利用し、詐欺を仕掛けるのです。

 もうひとつのアカウント侵害ですが、日本では一時期話題になったLINEの乗っ取りが近しい手口となります。SNSなど、友人・知人とのコミュニケーションに利用するアプリのアカウントを乗っ取り、その人間になりすまして金銭の詐取を狙います。相手の同情を誘うような内容をでっち上げ、送金を要求するような手口もあります。」

 ユーザーとしては、犯罪者の手口は常に進化をしていることを理解する必要がある。過去に行なわれた手口を把握しているからと気を緩めることなく、普段からやり取りをしている友人・知人であっても、金銭を要求されたときは警戒することだ。必要に応じて、本人に別の手段を用いて確認するなど、慎重な対応が求められる。

被害が増加するナイジェリア詐欺、ロマンス詐欺

・信頼を得ることで詐欺につなげるナイジェリア詐欺

 ナイジェリア詐欺という言葉は聞きなれない人も多いだろう。英語では『Nigerian Scam』いい、この犯罪行為がマネーロンダリングを禁止したナイジェリア刑法419条違反であることが由来だ。30年ほど前から存在する犯罪として知られる、ナイジェリア詐欺の特徴について中濱は以下のように述べる。

「この詐欺では、犯罪者がアラブの石油王やアフリカの王侯貴族を騙ることが知られています。彼らは財産を保有しているものの、諸事情で送金制限されているとして、その手伝いをターゲットに依頼します。多くの場合、送金手数料を負担すれば謝礼を渡すといった内容です。古くは手紙やFAXなどで行なわれていましたが、多くのユーザーが利用するようになったこともあり、メールなどに移行しています。

 概要だけ聞くと、普通に判断すれば詐欺に遭遇することはないと考えるかもしれません。しかし、犯罪者は巧妙なやり取りでユーザーの信頼を得ることを狙います。最近ではこのように相手の信頼を得た上で詐欺行為に及ぶもの全般を『ナイジェリア詐欺』と呼んでいます。」

・恋愛を絡めて詐欺を行なうロマンス詐欺

 相手を信頼させる詐欺のなかで、恋愛要素が絡むものは『ロマンス詐欺』と呼ばれる。日本でも過去に、クヒオ大佐事件が大きく話題となったが、SNSの普及を背景にその手口は巧妙化しているという。

「犯罪者にとって、インターネット経由でやり取りを完結できることは効率も良く、実際に会うことでの身バレのリスクもありません。さらに、複数の相手とのやり取りを並行して進められるため、『費用対効果』も高いのです。すなわち、犯罪者にとって他の犯罪よりもローリスクハイリターンとも呼べる状況なのです。犯罪者は図4のような手口でターゲットに近づきます。」

図4:ロマンス詐欺の手口(Wikipediaより)

「犯罪者は男女を問わずターゲットとして狙います。日本でも結婚詐欺などがよく知られていますが、ターゲットの信頼を獲得し、同情を誘って金銭要求に至ります。被害に遭ったユーザーの中には自分が被害に遭ったという自覚がないこともあるほどで、それほど巧みに犯罪者は狙ったユーザーを言い包めることがこの詐欺の特徴です。」と中濱はその危険性を指摘する。

 自分は騙されることはないと妄信せず、金銭が絡むやり取りには多少なりとも猜疑心を持つことが望ましいだろう。また、最近では不正送金のほう助をさせられる手口も出てきている。2019年8月にFBIが発表したレポートには、長期間かけてターゲットを信頼させ、マネーミュール(事情を知らない不正送金者)に仕立て上げる手法が紹介されている。

 この手法では、犯罪者がさまざまな理由を挙げて銀行口座の開設や会社設立を行なうように要求する。狙われたユーザーは自分が犯罪をほう助しているという認識がないまま、事件が発覚してはじめてその実態を理解することになるのだ。これらの詐欺への対策について、中濱が続けて説明する。

「ナイジェリア詐欺・ロマンス詐欺などの詐欺は、インターネット経由で新たな人に出会うことが容易になったことが増加の背景にあります。最近では、実際に現実世界で会っていなくても信頼し、友人とみなすことも少なくないなど、友人関係となるプロセスも以前とは様変わりしています。こうした状況において犯罪に巻き込まれないために、FBIでは以下のような予防策を紹介しています。」

図5:FBIが提言するナイジェリア詐欺・ロマンス詐欺の防止策

日本国内でも今後、巧妙化した詐欺が頻発!?

 数年前まで、今回紹介してきたようなインターネット関連の詐欺行為は日本国内での被害はあまり多くはなかった。その理由としてよく挙げられるのが、日本語という言語が障壁となり海外からの詐欺行為が難しかったこと、そして日本国内での犯罪者グループがオレオレ詐欺など、インターネット以外での詐欺行為を中心に展開していたことだ。しかし、最近はディープラーニングによる高度な翻訳も可能になり、ダークウェブなどで犯罪に関する手口やそのためのツールなども入手しやすくなるなど、状況は大きく変わってきている。

「これは世界的なサイバー犯罪の傾向とも共通しますが、犯罪者が組織的に犯罪を進めるようになるなど、犯罪の手口が劇的に進化しています。今年だけでも、日本国内で多くの詐欺事件が発生しています。政府による給付金支給のタイミングを狙った詐欺メールが政府の決定の前に飛び交うなど、その対応も拙速なものとなっています。このような状況を踏まえ、日本国内においてもこれらの犯罪行為と向き合うことが求められるタイミングに来ているのではないでしょうか。」と中濱は現状に対して危機感を露わにする。

 今回の記事では、米国のセキュリティレポートを元に、今回の前編では米国におけるセキュリティ動向の概要とビジネスメール詐欺、アカウント侵害、ナイジェリア詐欺、ロマンス詐欺などの被害状況を解説してもらった。次回の後編では、マルウェアの動向や世界で暗躍する犯罪者グループのコロナ禍における動向などを中心に、引き続き中濱が解説していく。

話を聞いた社員:
キヤノンITソリューションズ株式会社 ITプラットフォーム技術統括本部 サイバーセキュリティ技術開発本部 サイバーセキュリティラボ 主管スタッフ 中濱 禎夫