写真提供:マイナビニュース

写真拡大

トレンドマイクロは、1月10日に2016年国内サイバー犯罪動向解説セミナーを開催した。個人/法人ユーザーの両方に対し、2016年のサイバー犯罪動向について総括するものだ。同時に、2017年以降予想される脅威動向についても紹介された。セミナーの解説を行ったのは、トレンドマイクロ セキュリティエバンジェリストの岡本勝之氏である。

岡本氏は、2017年の脅威予測の1つとして、ビジネスメール詐欺(BEC)を指摘した。一般ユーザーには耳慣れない言葉かもしれない。本稿では、ビジネスメール詐欺(BEC)について、紹介したい。

○ビジネスメール詐欺(Business E-Mail Compromise:BEC)とは

ビジネスメール詐欺(BEC)であるが、具体的な事例を紹介したほうがわかりやすいだろう。まず、CEOや会社幹部になりすますパターンである。これは、攻撃者が会社幹部になりすまし、財務担当者に送金指示のメールを送信する。その際に、件名に以下のような言葉を含める。

・非常に緊急
・緊急扱い
・大至急扱い
・支払期限超過
・緊急支払

財務担当者は、時間的に余裕がなく、疑う余裕が減ってしまう。さらには、本文では「M&A(買収)案件なので、海外送金を至急行ってほしい。極秘案件のため、社内秘で進めてほしい。交渉先との協議中で、電話にもでることはできない」といった内容が含まれることもある。財務担当者は、会社への損害や会社幹部への配慮から、いわれたとおりに送金を行ってしまう。

次のパターンであるが、会社Aと会社Bが通常の取引を行っている。ここで、攻撃者は会社Bの従業員の情報を窃取し、会社Bになりすまし、会社Aに対しメールで請求を行う。普段の取引ならば、会社Bの正しい口座に送金される。しかし、取引先になりすました攻撃者は、送金先の口座の変更を伝えてくる。不審に思われないように、攻撃者は進行中の取引内容を把握したうえでメールを送ってくる。当然、被害者はなりすましを見破りにくい。

また、弁護士などになりすますパターンもある。顧問弁護士になりすまし、財務担当者に送金指示メールを送信する。この際に、この案件は緊急を要する機密案件と強調する。さらに、メールの送信を終業時刻近くや週末に行う。このようにすることで、被害者から考える時間を奪うのである。

ビジネスメール詐欺(BEC)で重要なポイントは、CEO、取引先、顧問弁護士などの個人情報の取得と、その会社での業務内容などの把握が必要となる。攻撃者はいかにしてこのような情報を詐取するのか。まず、標的型攻撃のように、セキュリティのあまい従業員などのアカウントから、社内ネットワークに侵入する。そして、実際にメールをのぞき見たり、キーロガーなどを使い、個人情報と業務内容を窃取する。より、完璧な業務内容の把握のため、長期間にわたり社内ネットワークに侵入し続け、攻撃のタイミングを見計らっている。

そして、ヒエラルキーの強固な会社が多く、上司に対する忠誠心の高い日本を対象とした場合、より成功しやすい。この点も注意したい。

○被害額が桁違い

さて、ビジネスメール詐欺(BEC)の特徴をあげるとすれば、被害額が桁違いな点にある。図2は、冒頭で紹介した岡本氏が使ったスライドである。

最近、個人ユーザー、法人ユーザーの両方に大きな被害を与えている脅威にランサムウェアがある。クリプト型では、社内の共有フォルダに保存された業務データを暗号化してしまい、業務不能に陥れる。そして、業務データを復元させたければ、身代金を払えと脅迫してくる。法人ユーザー相手の場合、身代金もかなり高額になる。岡本氏のスライドによれば、3万米ドルである。

その一方で、ビジネスメール詐欺(BEC)の1件あたりの米国での被害額であるが、FBIから昨年6月に発表された値を元に算出した結果は約14万米ドルとなっており、これはランサムウェアの5倍近い。企業にとっては、経営上の問題ともなりかねない事態となりうる。

○ビジネスメール詐欺(BEC)への対策

ビジネスメール詐欺(BEC)であるが、送金を要求するなりすましメールであるが、

・ウイルスや不正プログラムの添付
・安全でないリンクやURL

といったものが含まれていない。送信者も実際に存在する会社幹部であったり、取引先である。従来の方法では、疑いにくい。最初の段階で、社内ネットワークに侵入する際には、なんらかの不正プログラムが使われる可能性はある。その時点で、侵入を防げれば、問題はない。しかし、新種の不正プログラムなどを使い、防御壁を突破されることは十分可能性がある。こうして、潜伏を始める。

実際に、ビジネスメール詐欺(BEC)が行われる段階では、送信メールだけから対策を行うのは非常に困難となってしまう。では、防ぐ手段はないのか。

・送金にかかわる業務については、相手に電話をかけて毎回確認する(二段階認証)
・支払方法の変更があった場合は、必ず社内の承認プロセスを経る
・急な変更の依頼や通常の手順と違うメールについては疑う
・従業員の意識を高めること

どんなに急ぎであっても、また、秘密性が高いものであっても、複数の社員でチェックできる体制を構築することである。二段階認証は、なんのためにメールを使っているのか不満に感じるかもしれないが最近の状況を踏まえれば、必要な作業となる。そして、セキュリティ全般に言えることだが、従業員は重要な資産であると同時に、もっとも脆弱な侵入経路となる可能性がある。従業員の意識を高めるための啓蒙活動やセキュリティに対する知識の向上が求められるだろう。

(c-bou)