北朝鮮によるソーシャルエンジニアリング攻撃ソーシャルエンジニアリング攻撃とは?手口と脅威を解説

Share

2024年12月24日、警察庁および金融庁は、同年5月に発生した国内の暗号資産(仮想通貨)取引所から約482億円が窃取された事案に関連して注意喚起*1を発表しました。本記事では、北朝鮮によるソーシャルエンジニアリング攻撃の事例と手法を解説し、企業が取るべき対策例をご紹介します。

ソーシャルエンジニアリング攻撃の概要

北朝鮮のサイバー攻撃グループ「TraderTraitor(トレイダートレイター)」は暗号資産・NFTの窃取を目的とした不正アクセスやソーシャルエンジニアリングを駆使した攻撃を行っています。CISA(米サイバーセキュリティ・インフラセキュリティ庁)によると、暗号資産事業者に加えて暗号通貨に投資するベンチャーキャピタルや暗号通貨・NFTの個人保有者など、ブロックチェーン技術や暗号通貨業界の様々な組織が標的とされていることが確認されています*2

ソーシャルエンジニアリングとは
ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

関連記事:「ソーシャルエンジニアリングとは?その手法と対策

ソーシャルエンジニアリングの手法

「TraderTraitor」はまず、ビジネスパーソン向けの交流サイト「LinkedIn」上で採用希望者になりすまし、ターゲットとなる企業の従業員に接触しています。これにより、従業員の信頼を得たうえで企業の内部システムに侵入し、暗号通貨の正規取引を改ざんしたとされています。

SNSを悪用した手法は近年の北朝鮮の攻撃キャンペーンに多く使われる手法です。偽のアカウント・ペルソナを構築し、ターゲット企業や個人にアプローチします。ディープフェイク技術を用いて履歴書やSNSに掲載する画像やビデオ通話の偽装を行うこともあります。このアプローチは、ターゲット企業内の資産を窃取する、従業員として入り込んで国連決議に基づく経済制裁をかいくぐって外貨を獲得する、ターゲット企業にマルウェアを展開するといった侵害を目的としています。

参考:金融庁/警察庁/内閣サイバーセキュリティセンター
北朝鮮当局の下部組織とされるラザルスと呼称されるサイバー攻撃グループによる 暗号資産関連事業者等を標的としたサイバー攻撃について(注意喚起)

ソーシャルエンジニアリング攻撃の代表的な手法

手法
フィッシングターゲットをだますことで情報を引き出す(認証情報や個人情報)、マルウェアやマルウェアのダウンローダーなどの実行リンクや添付ファイルを送信する。従来はメールやSMSを使う手法が主流だったが、近年はSNSや音声を使う手法も増えている
スピアフィッシングフィッシングの一形態
特定の個人や企業を狙ったフィッシング攻撃を指す
ビジネスメール詐欺取引先などになりすまし、入金を促す詐欺
ベイティングマルウェアを仕込んだUSBメモリを廊下に落とす、無料の音楽や映画のダウンロードを提供し認証情報を盗むなど、「餌」を使って被害者をおびき寄せる攻撃
プリテキスティング権威のある人物(銀行員、警察、ITサポートなど)になりすまし、個人情報を聞き出す
テールゲーティング正規従業員の同僚や配達員、修理業者などを装って物理的なセキュリティを突破し、機密情報にアクセスする

ソーシャルエンジニアリング攻撃の事例

近年の代表的なソーシャルエンジニアリング攻撃2例をご紹介します。

  • XZ Utilsへのソーシャルエンジニアリング攻撃
    Linuxのオープンソース圧縮ファイルアプリケーションXZ Utilsに悪意のあるコードが埋め込まれたことが発見されたことから2024年3月に発覚した事件*3です。その後、偽のペルソナを騙る攻撃者が約2年間、プロジェクトの貢献者として活動し、悪意のあるコードを埋め込んでいたことが判明した事件です。オープンソースプロジェクトのエコシステムの在り方も同時に問われたのでご存じの方も多いのではないでしょうか。
  • ディープフェイク技術を悪用した詐欺
    在香港の多国籍企業の財務担当者がディープフェイクを用いたビデオ通話会議を通じて騙され、2億香港ドル(日本円で約40億円)を詐欺師に送金してしまった事件*4です。財務担当者は当初CFOを名乗る人物から送られたメールには疑念を抱いたものの、ビデオ通話会議に実在の同僚やCFOが出席しているものと思い込んだことが原因とされています。

ソーシャルエンジニアリング攻撃の対策方法

今回の北朝鮮によるソーシャルエンジニアリング攻撃を受け、FBIは注意喚起*5を行い、企業や個人に対して警戒を促しました。また、日本の警察庁も企業に対し、セキュリティ対策の強化を求めています。企業側では、「システム管理者」「従業員」「人事担当者」の3方向からの対策例を考え、組織一丸となってセキュリティ対策を実行することが重要です。技術的な面では、マルウェア検出システムの導入や定期的な更新も重要となります。これにより、自組織がソーシャルエンジニアリング攻撃で踏み台にされていた場合でも被害を最小限に抑えることが可能になります。

ディープフェイクを用いたSNS上の偽アカウント・ペルソナは、過去の研究で多くの人が簡単に見抜けないことが明らかになっています。企業や個人は最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが不可欠です。継続的な教育、技術的防御、国際協力を通じて、安全なデジタル環境を維持することが求められます。

関連情報:
Mink, J., Luo, L., Barbosa, N. M., Figueira, O., Wang, Y., & Wang, G. (Year), University of Illinois at Urbana-Champaign & Santa Clara University., DeepPhish: Understanding User Trust Towards Artificially Generated Profiles in Online Social Networks.

まとめ

  • ソーシャルエンジニアリングとは、人の心理を巧みに操り、重要情報等を聞き出したりすること
  • 従業員教育×技術対策×物理セキュリティの3つを組み合わせて対策を強化
  • 最新の攻撃手法を把握し、適切なセキュリティ対策を講じることが重要

Security Report TOPに戻る
TOP-更新情報に戻る

サイバーインシデント緊急対応

サイバーセキュリティ緊急対応電話受付ボタン
SQAT緊急対応バナー

ウェビナー開催のお知らせ

  • 2025年2月19日(水)14:00~15:00
    Web担当者に求められる役割とは?Webサイトのガバナンス強化とセキュリティ対策を解説
  • 2025年2月26日(水)13:00~14:00
    AWS/Azure/GCPユーザー必見!企業が直面するクラウドセキュリティリスク
  • 最新情報はこちら


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像

    ソーシャルエンジニアリングとは?その手法と対策

    Share

    今回は、サイバー攻撃の変わり種、システムではなく人間の弱点に付け入る攻撃、ソーシャルエンジニアリングを紹介します。

    まずソーシャルエンジニアリングの具体的な手法を挙げ、どのように人間の弱点が利用されるのかを説明し、日本で起こったソーシャルエンジニアリングによる被害実例を紹介します。

    途中ちょっと寄り道をして、オレオレ詐欺はソーシャルエンジニアリングなのかどうかについて考えつつ、最後に具体的かつ実践的な対策方法と、逆効果となる、とある対策・管理方針について言及します。

    ソーシャルエンジニアリングとは

    ソーシャルエンジニアリングは、人の心理を巧みに操り、重要な情報を引き出す手法です。この手法を使った攻撃がソーシャルエンジニアリング攻撃で、攻撃者は情報収集やシステムへの不正アクセスなどを目的に、人を心理的に操作して、攻撃者にとって都合のいい行動を起こさせます。

    認知能力、心理など「人間の脆弱性」を攻撃するソーシャルエンジニアリング

    アメリカの非営利のセキュリティ研究団体MITRE社の説明によると、ソーシャルエンジニアリングとは、人心を巧みに操り、その弱みにつけこんで、悪意ある相手に利するような行動や情報を引き出すというものです。具体的な例を挙げると、技術的な手段によらずに、口頭による会話といった「社会的(ソーシャル)」な手段で、ID・パスワードなどの重要情報を、巧みなやり方で関係者から直接聞き出す行為などがソーシャルエンジニアリングです。大きくは、人間の認知能力のさまざまな弱点やスキにつけ込む手法全般のことだといえるでしょう。

    脆弱性診断サービスを提供するBBSecとして「脆弱性」という観点で申し上げるなら、ソーシャルエンジニアリング攻撃は「システムやソフトウェアではなく人間の脆弱性を突く攻撃」と言うことができます。

    ソーシャルエンジニアリングの手法

    以下に典型的なソーシャルエンジニアリングの手法を挙げます。

    ・ショルダーハッキング
      例)パスワード等をユーザの肩越しに覗き見る
    ・トラッシング(スカベンジング)
      例)清掃員などに変装して標的組織に侵入し、書類やHDDなどのゴミや廃棄物をあさる
    ・なりすまし電話
     例)システム担当者などになりすましてパスワードなどを聞き出す
    ・ベイティング
     例)マルウェアを仕込んだUSBメモリを廊下に落とす
    ・フィッシング(ヴィッシング、スミッシング等 含む)
      例)信頼できる存在になりすまし、ID・パスワード、クレジットカードなどの情報を入手する
    ・ビジネスメール詐欺
     例)取引先などになりすまし、犯人の口座へ振込を行わせる
    ・標的型攻撃メール
     例)ターゲットに対する入念な調査に基づいて作成した、完成度の高いなりすましメールを送る

    たとえば「なりすまし電話」ですが、上記に挙げた例とは逆に、入社したばかりの何も知らない社員を装ってシステム担当者に架電し、やり方がわからないふりをするなどして徹底的にイライラさせて、思わずパスワードを口に出させるなどの方法も存在します。人間の認知能力のスキをつくソーシャルエンジニアリングには、実にさまざまな方法があるのです。

    ソーシャルエンジニアリングの最大の特徴とは

    人の脆弱性を突くソーシャルエンジニアリングの最大の特徴は、ターゲットを信頼させ、攻撃者に有益な情報の提供などを自発的に行わせてしまう点にあります。MITRE社の説明に「人を操る」とあった通り、権力や暴力を振りかざして重要情報を聞き出した場合、それは単なる脅迫であってソーシャルエンジニアリングではありません。

    ターゲットの心を意のままに操作して、自発的に、ときに笑顔で協力させてしまう点にこそ、ソーシャルエンジニアリングを行う犯罪者の真骨頂があります。

    ソーシャルエンジニアリングはどのように人間の弱点につけ込むのか

    ソーシャルエンジニアリングは攻撃対象が信頼してしまう存在などになりすましてターゲットを信頼させ、心を開かせたり油断させることで行われます。

    そのために攻撃者がしばしば目を付けるのが、「権威」に対する人間の弱さです。会社の取締役を装って電話をかける、得意客になりすましたビジネスメールを送る、大手金融機関や有名ブランドをかたったフィッシングメールを送る、などの手口に騙されるのが典型的なケースです。

    なお、メールアカウントを乗っ取って旧知の取引先などになりすましたメールを送信することで拡散を図るEmotetは、フィッシングを行うマルウェアであり、ソーシャルエンジニアリングの一類型と言うことができます。

    オレオレ詐欺はソーシャルエンジニアリングか

    権威以外にも「義務感」「正義感」あるいは「好意」につけ込む方法もよく用いられます。多くの人は、困っている人に出会ったら「助けなければ」と感じます。助ける相手が親しい人物や好感を持てる人物であればなおさらです。

    そこで思い浮かぶのがオレオレ詐欺ですが、ちなみに、この手の犯罪は、「ソーシャルエンジニアリング」なのでしょうか?

    答えはNoです。ソーシャルエンジニアリングは、コンピュータセキュリティの文脈で使われる言葉であり、コンピュータやシステムへの不正アクセスを行うことを目的のひとつに含むという前提があります。そのため、オレオレ詐欺がソーシャルエンジニアリングと呼ばれることは一般にはほとんどありません。

    ニューノーマル、テレワーク時代に気をつけたいソーシャルエンジニアリング

    大きな環境変化の最中や直後などは、ソーシャルエンジニアリングの絶好の機会です。平時にはない緊張を強いられることで人々の不安やストレスが増し、感情的に動揺しやすくなるためといわれています。2020年、新型コロナウイルスの感染が一気に拡大した当初も、品薄状態だったマスクの配布をうたうメールやWebサイト、保健所からの連絡を装った攻撃などが複数確認されました。ニューノーマル時代、こうした攻撃に引き続き警戒が必要であることはいうまでもありません。

    また、テレワークによって従業員どうしが切り離された就業環境においては、フィッシングメール標的型攻撃メールの感染確率が上がると言われています。これは、オフィスにいたなら同僚や情報システム部門に「変なメールが届いた」と気軽に相談できていたことが、テレワークによって難しくなるからです。

    日本で起こったソーシャルエンジニアリングの実例

    2015年に発生した日本年金機構の情報漏えい事件は、「【医療費通知】」という件名の標的型攻撃メールが公開メールアドレスに届き、その添付ファイルを開いたことが発端であったとされています。

    また、2017年に大手航空会社がビジネスメール詐欺で数億円をだましとられた事件も、2018年に仮想通貨取引所から暗号資産が流出した事件も、いずれもソーシャルエンジニアリングが攻撃のステップのひとつとして用いられています。

    ソーシャルエンジニアリング対策・防止策

    では、こうしたソーシャルエンジニアリングを防止する対策方法には、どのようなものがあるのでしょうか。

    ソーシャルエンジニアリングの手法」で挙げた攻撃に対しては、たとえばショルダーハッキングならプライバシーフィルターを利用する、ビジネスメール詐欺ならメールの指示をうのみにせず本人に電話をして確認するなど、さまざまな対策方法が存在します。また、近年攻撃者はSNSを活用してターゲットに関する情報を集めることが知られていますので、SNSの利用に組織としてルールを設けるなどの方法も有効です。研修や教育なども効果があります。

    しかしその一方で、人間の脆弱性を突く攻撃を完全に防ぐことはできない、という観点に基づいた対策も、併せて必要になります。攻撃を防ぐ対策と同時に、攻撃が防げなかった場合(成功してしまった後)の対策も考える必要があるのです。BBSecはこの考えのもと、標的型攻撃リスク診断やペネトレーションテストなどのサービスを提供し、攻撃を受けることを前提としたセキュリティ対策に取り組む企業・組織の皆様をご支援しています。

    企業が絶対にやってはいけないソーシャルエンジニアリング対策

    ソーシャルエンジニアリングは人間の脆弱性を突く攻撃です。だからこそ、対策として絶対にやってはいけないことがあります。それは、騙された人を叱責する、何らかのペナルティを与える等の懲罰主義の管理です。

    罰を受けるのを恐れることによって、事故が発生しても報告がなされず、それが、インシデントの発見の遅れを招き、組織にとっての致命傷を生むことがあります。あなたも私も、人間は皆、あやまちを犯す生き物なのです。あやまちを犯すことが覆い隠されてしまうような管理は、何の成果も上げられないでしょう。

    まとめ

    • ソーシャルエンジニアリングとは、人の心を操って重要情報等を聞き出したりすることです。
    • ショルダーハッキング、フィッシング、ビジネスメール詐欺、標的型攻撃メールなど、さまざまな手法があります。
    • ソーシャルエンジニアリングは、「権威」「義務」「好感」などに惑わされる人間の弱さをあらゆる手口で突いてきます。
    • 環境が急激に変化する時は、ソーシャルエンジニアリングの付け入るスキが生まれます。ニューノーマルや急速なテレワーク化への対応を迫られる現在も、その例外ではありません。
    • 懲罰主義による管理は、ソーシャルエンジニアリング対策として何の効果もなく、インシデント発生の対応が遅れる要因になります。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    人という脆弱性
    ~ソーシャル・エンジニアリング攻撃~

    Share

    SQAT® Security Report 2020-2021年 秋冬号掲載

    特殊詐欺のイメージ画像(電話・お金・メモ)

    ※本記事は、2020年10月公開SQAT®Security Report 2020-2021年 秋冬号の記事、「人という脆弱性~ソーシャル・エンジニアリング攻撃~」の一部抜粋になります。

    ここ数年、ソーシャル・エンジニアリングを用いた攻撃による大規模な事件が多数発生している。

    ・2015年に発生した日本年金機構の大規模な情報漏洩事件*6
    ・2017年の大手航空会社が3億8000万円をだましとられた事件*2
    ・2018年の暗号通貨の不正送金事件*3
    ・2020年7月に起きた大手SNSの大規模アカウントハック事件*4

    これらはすべてソーシャル・エンジニアリングを用いた攻撃に端を発しているといわれている。ソーシャル・エンジニアリングを用いた攻撃の高まりを受けて、IPA(独立行政法人 情報処理推進機構)が「ソーシャル・エンジニアリングを巧みに利用した攻撃の分析と対策」*5 を発表したのが2009年であるが、10年以上が経過した今も、ソーシャル・エンジニアリングを用いた攻撃は、収まる気配がない。それは、ソーシャル・エンジニアリングが持つ、人間という脆弱性を狙う性質に原因がある。
    ここでは、今一度、ソーシャル・エンジニアリングと人間とのかかわりを考えていきたいと思う。

    攻撃者の目線

    サイバー攻撃を行う場合、攻撃者はいくつかの手段を選択することができる。その選択肢の中で、システムの脆弱性を攻撃して目的の情報を盗みだすことよりも、人間を狙って攻撃する方が、少ないコストで多くの利益を得ることができると、彼らはときに考える。それが、人間という脆弱性を狙った攻撃、つまりソーシャル・エンジニアリングを用いた攻撃である。ここでは人間をシステム全体に対する脆弱性ととらえて、解説と対策を語っていきたい。

    ソーシャル・エンジニアリングとは?

    そもそも、ソーシャル・エンジニアリングとは何なのだろうか? ソーシャル・エンジニアリングフレームワークの第一人者と知られるクリストファー・ハドナジー(Christopher Hadnagy)氏は、著作『ソーシャル・エンジニアリング』(日経BP社)の中で、ソーシャル・エンジニアリングを「人を操って行動を起こさせる行為。ただし、その行動が当人の最大の利益に適合しているか否かを問わないこともある」と定義づけている。これには警察官、弁護士、医師といった人々が、標的当人の利益となるように誘導するといったケースも含まれているが、一般的にサイバー攻撃におけるソーシャル・エンジニアリングとは、不正アクセスするのに必要なシステム情報、アカウント、パスワード、ネットワーク・アドレス等を正規のユーザあるいはその家族、友人などから人間の心理的な隙や、行動のミスにつけ込んで手に入れる手法と位置付けられることが多くなっている。ソーシャル・エンジニアリング攻撃の定義は様々なものがあるが、その共通するところは、人を介して攻撃を行うという点である。

    人が持つ心理的脆弱性

    では、なぜ人が脆弱性となってしまうのか、この点について、原因の一つとなっていると考えられる、人に存在する心理的脆弱性を見ていきたい。ハドナジー氏は人には以下のような8つの心理的脆弱性が備わっていると主張している。

    返礼
    人からの親切に対し、お返しをせずにはいられない特性

    プレゼントのお返しに、何かしてほしいことはないかと聞く。

    義務感
    社会的、法的、道徳的に、人がなすべきだと感じている行動をとってしまう特性

    身体が不自由な人に、積極的に手を差し伸べなくてはならないと考えて寄付を行う。

    譲歩
    何かを譲ってもらったら、同じように譲らなくてはならないと考える特性

    相手の大きな要求を最初に断ったのだから、次の小さな要求には応じてあげたいと考える。


    本記事はここまでになります。

    この記事の続きでは、こちらでご紹介した以外にも、人に対する過度なストレスを与える攻撃、など心理的弱みを突く攻撃「ソーシャル・エンジニアリング」のメカニズムを徹底解説しています。 ぜひご一読ください。

    ※参考(続き)
    contents
    4.人へのバッファオーバーフロー攻撃
    5.人間の隙をつくソーシャル・エンジニアリング攻撃
    6.テクノロジーが人間を追い詰める
    7.ソーシャル・エンジニアリングに対する防御
    8.おわりに

    下記より無料でダウンロードいただけます。

    まずは無料で資料をダウンロード

    年二回発行されるセキュリティトレンドの詳細レポートをダウンロードできるURLをお送りいたします。
    見積もりについてのご相談は、お問い合わせよりご連絡ください。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像

    「情報セキュリティ10大脅威」3年連続ベスト3入り、
    ビジネスメール詐欺を防ぐ手立ては?

    Share

    今回の記事では、2017年末に日本の航空大手の海外法人が被害を受けたことで一気に警戒感が高まった「ビジネスメール詐欺」について解説します。ソーシャルエンジニアリングの手法を応用したビジネスメール詐欺の手口や攻撃プロセスを説明し、被害件数や被害額なども紹介しながら、どんな対策が有効性が高いのかを考えます。

    ビジネスメール詐欺とは

    ビジネスメール詐欺とは、入念に準備した偽の電子メールを企業・組織の従業員に送り、不正に送金などを行わせる犯罪です。英語は「Business E-mail Compromise」です。「BEC」と略され、「ビーイーシー」あるいは「ベック」と呼ばれることもあります。

    ビジネスメール詐欺の種類

    ビジネスメール詐欺にはどのような種類があるのでしょう。独立行政法人情報処理推進機構(IPA)による注意喚起では、詐欺の手口にもとづく、下記5タイプの分類が使用されています。

    ・取引先との請求書の偽装
    ・経営者等へのなりすまし
    ・窃取メールアカウントの悪用
    ・社外の権威ある第三者へのなりすまし
    ・詐欺の準備行為と思われる情報の詐取

    なお、この分類は、米国政府系機関のIC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際のケースでは、しばしば上記に挙げた手口を複数組み合わせる形で攻撃が実施されます。

    ビジネスメール詐欺は人の心理の弱点を突く

    ビジネスメール詐欺では、メールアカウント窃取などで技術的な手口も使いつつ、人間の認知能力・心理などの弱みを突いた、巧みなソーシャルエンジニアリングが行われます。

    得意先の担当者になりすまし「振込先の口座が今月から変更になった」と連絡する、海外出張中の社長を装い「緊急な案件で資金が必要だ」と確認の余地なく従わせる、「明日の正午までに」と時間を区切って切迫感を高める、頼れる知人のふりをして「君にしか相談できない」と内密感をかもし出し発覚を遅らせる、などなど、やり方は実に多彩です。攻撃者は、ある意味、人間心理を知り尽くした詐欺のプロフェッショナルとも言え、標的となった相手を信じ込ませるために、ありとあらゆる手段を総動員します。

    ビジネスメール詐欺実行のプロセス

    ビジネスメール詐欺では、詐欺メールの送り先となるターゲットは、職務等にもとづいてあらかじめ絞り込まれます(例:送金に関わる経理担当者など)。もし同じ職務を担当する社員が複数名いるなら、事前の情報収集で「より攻撃に弱い」とみなせる人物がターゲットになります。典型的な実施プロセスは下記の通りです。

    1.標的とする企業の選定
    2.フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
    3.乗っ取った電子メールアカウントを用いた情報の収集・分析
     例:
     ・組織図や人事情報
     ・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
     ・企業の業務プロトコルや各種社内規定、企業文化
     ・毎月の経理処理のスケジュール
     ・主要取引先の担当者氏名・役職・権限、取引の詳細
     ・ターゲット候補に関する情報
     (性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など)
    4.ターゲット、攻撃シナリオの決定
     例:経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
    5.詐欺ドメインの取得
     例:大口取引先B社とよく似たドメインの取得、メールサーバの設定 他
    6.なりすましメール送信
     例:A氏に対し、C氏を装った電子メールを送信
    7.攻撃成功
    (なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる)
     例:A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

    ビジネスメール詐欺と標的型攻撃メールとの違い

    ビジネスメール詐欺は、「ターゲットを絞り込む」という点で、「APT」と呼ばれる標的型攻撃で使われるメールと似ていますが、その目的をみると、両者には明らかな違いがあるといえます。 標的型攻撃の最終的な目標は、多くの場合、航空エンジン設計や新薬開発のような、莫大なお金と時間をかけて生み出された知的財産だったり、ときに重要な国家機密だったりします。一方、ビジネスメール詐欺は、単に「なるべくたくさんのお金をかすめ取る」ことでその目的が達成されます。金銭的報酬を最終目的に、ターゲットについて調べに調べたうえで実行されるのが、ビジネスメール詐欺といえるでしょう。

    それぞれの攻撃シミュレーション

    <標的型攻撃メール>
    攻撃者のターゲットに対して、たとえば「名門大学の新卒学生や取引先を装い、人事担当者に対して履歴書PDF付きのメールや業務に関するファイルを添付したメールを送る」など、ターゲットとなる人物が思わず開封してしまうような内容のメールを送ります。

    <ビジネスメール詐欺>
    多くは、自分の上司、同僚や見知った人物などとのこれまでの業務上のやり取りに攻撃者が直接介入し、取引先になりすまして、通常の業務プロセスやスケジュールに添って、いつも通り(ただし、振込先の口座が違うなど、一部の情報が異なる)のメールを送ります。

    ビジネスメール詐欺の被害件数、被害額

    IPAが毎年発表している「情報セキュリティ10大脅威」では、「ビジネスメール詐欺による被害」は2018年に初登場し、いきなり第3位にランクインしました。その後、2019年は2位、2020年は3位です。こうした、上位に居座り続ける脅威には、対策が難しく、いざ発生すると被害が大きなものになりやすいという傾向があります。

    では、具体的にはどのくらい被害が出ているのでしょう。前出の米国IC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)によると、2013年10月~2016年5月の統計では、米国内外における被害件数は22,143件、被害額は約31億ドルでした。その後、2016年6月~2019年7月の統計では被害件数166,349件、被害額は約262億ドルとなり、件数、被害額ともに大きく増加しています。*6

    日本のデータとしては、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が2019年に実施した調査結果があります。国内企業12社を対象としたアンケートによると、詐欺メールによって請求された金額の合計は、約24億円にのぼったそうです(実際の被害が発生しなかったものも含めて計上)。

    英語? 日本語? ビジネスメール詐欺の文面

    日本でビジネスメール詐欺が注目を集めるきっかけになった被害事例は、大手企業の海外法人で起こったものでした。そのため「ビジネスメール詐欺は英語」とイメージしがちなのですが、2018年7月には日本語メールによるビジネスメール詐欺の攻撃事例が報告されています。その後、メールの日本語化は着実に進んでおり、2020年のIPAによる注意喚起でも、巧妙化する日本語の偽メールへの警戒が呼びかけられています。たとえ海外法人を持たず海外の取引先が一社もないとしても、安心はできないと考えておくべきでしょう。

    ビジネスメール詐欺に有効な対策、ふたつのアプローチ

    情報収集プロセスへの対策

    ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、「ビジネスメール詐欺実行のプロセス」のフィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取りにも有効です。

    実行プロセスへの対策

    ビジネスメール詐欺を防ぐには、詐欺メールを見抜くための体系的な対策が求められます。教育によりセキュリティリテラシーの向上を図る、口座の変更などがあったら必ず社内承認を経るといった研修や運用面での対策、そして、偽メールを検知するために電子署名を付与したり、メールセキュリティ製品を導入したりするといった技術的対策、さらに、自社ドメインとよく似たドメインが第三者によって取得されていないか調査を実施するなど、多面的な取り組みが効果を高めるでしょう。

    ビジネスメール詐欺ではどこまで自社の情報を集められるのか?

    ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と前に述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

    そこで求められるのが、前に述べた「ビジネスメール詐欺実行のプロセス」の、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

    なお、SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。このサービスでは、攻撃が成功した場合に社内の情報が一体どこまで収集されてしまうのか、どこまで侵入を許し何を知られてしまうのか、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。 もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

    まとめ

    • ビジネスメール詐欺とは偽物のメールを送って不正な送金等を行わせる犯罪です。
    • 人間の弱点を突く、という点でソーシャルエンジニアリングのひとつと言うことができます。
    • メールアカウントの乗っ取りなどを行い、企業・組織とそこで働く人について徹底的かつ緻密な調査を実施します。
    • 「情報セキュリティ10大脅威」のベスト3に3年連続ランクインしている極めてやっかいな脅威です。
    • ビジネスメール詐欺を防ぐには、詐欺メールに照準を合わせた対策を多面的に実施することが効果的ですが、一般的なセキュリティ対策も役立ちます。

    Security Report TOPに戻る
    TOP-更新情報に戻る


    資料ダウンロードボタン
    年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
    お問い合わせボタン
    サービスに関する疑問や質問はこちらからお気軽にお問合せください。

    Security Serviceへのリンクバナー画像
    BBsecコーポレートサイトへのリンクバナー画像
    セキュリティ緊急対応のバナー画像
    セキュリティトピックス動画申し込みページリンクへのバナー画像