「情報セキュリティ10大脅威」3年連続ベスト3入り、
ビジネスメール詐欺を防ぐ手立ては?

Share

今回の記事では、2017年末に日本の航空大手の海外法人が被害を受けたことで一気に警戒感が高まった「ビジネスメール詐欺」について解説します。ソーシャルエンジニアリングの手法を応用したビジネスメール詐欺の手口や攻撃プロセスを説明し、被害件数や被害額なども紹介しながら、どんな対策が有効性が高いのかを考えます。

ビジネスメール詐欺とは

ビジネスメール詐欺とは、入念に準備した偽の電子メールを企業・組織の従業員に送り、不正に送金などを行わせる犯罪です。英語は「Business E-mail Compromise」です。「BEC」と略され、「ビーイーシー」あるいは「ベック」と呼ばれることもあります。

ビジネスメール詐欺の種類

ビジネスメール詐欺にはどのような種類があるのでしょう。独立行政法人情報処理推進機構(IPA)による注意喚起では、詐欺の手口にもとづく、下記5タイプの分類が使用されています。

・取引先との請求書の偽装
・経営者等へのなりすまし
・窃取メールアカウントの悪用
・社外の権威ある第三者へのなりすまし
・詐欺の準備行為と思われる情報の詐取

なお、この分類は、米国政府系機関のIC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際のケースでは、しばしば上記に挙げた手口を複数組み合わせる形で攻撃が実施されます。

ビジネスメール詐欺は人の心理の弱点を突く

ビジネスメール詐欺では、メールアカウント窃取などで技術的な手口も使いつつ、人間の認知能力・心理などの弱みを突いた、巧みなソーシャルエンジニアリングが行われます。

得意先の担当者になりすまし「振込先の口座が今月から変更になった」と連絡する、海外出張中の社長を装い「緊急な案件で資金が必要だ」と確認の余地なく従わせる、「明日の正午までに」と時間を区切って切迫感を高める、頼れる知人のふりをして「君にしか相談できない」と内密感をかもし出し発覚を遅らせる、などなど、やり方は実に多彩です。攻撃者は、ある意味、人間心理を知り尽くした詐欺のプロフェッショナルとも言え、標的となった相手を信じ込ませるために、ありとあらゆる手段を総動員します。

ビジネスメール詐欺実行のプロセス

ビジネスメール詐欺では、詐欺メールの送り先となるターゲットは、職務等にもとづいてあらかじめ絞り込まれます(例:送金に関わる経理担当者など)。もし同じ職務を担当する社員が複数名いるなら、事前の情報収集で「より攻撃に弱い」とみなせる人物がターゲットになります。典型的な実施プロセスは下記の通りです。

1.標的とする企業の選定
2.フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
3.乗っ取った電子メールアカウントを用いた情報の収集・分析
 例:
 ・組織図や人事情報
 ・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
 ・企業の業務プロトコルや各種社内規定、企業文化
 ・毎月の経理処理のスケジュール
 ・主要取引先の担当者氏名・役職・権限、取引の詳細
 ・ターゲット候補に関する情報
 (性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など)
4.ターゲット、攻撃シナリオの決定
 例:経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
5.詐欺ドメインの取得
 例:大口取引先B社とよく似たドメインの取得、メールサーバの設定 他
6.なりすましメール送信
 例:A氏に対し、C氏を装った電子メールを送信
7.攻撃成功
(なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる)
 例:A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

ビジネスメール詐欺と標的型攻撃メールとの違い

ビジネスメール詐欺は、「ターゲットを絞り込む」という点で、「APT」と呼ばれる標的型攻撃で使われるメールと似ていますが、その目的をみると、両者には明らかな違いがあるといえます。 標的型攻撃の最終的な目標は、多くの場合、航空エンジン設計や新薬開発のような、莫大なお金と時間をかけて生み出された知的財産だったり、ときに重要な国家機密だったりします。一方、ビジネスメール詐欺は、単に「なるべくたくさんのお金をかすめ取る」ことでその目的が達成されます。金銭的報酬を最終目的に、ターゲットについて調べに調べたうえで実行されるのが、ビジネスメール詐欺といえるでしょう。

それぞれの攻撃シミュレーション

<標的型攻撃メール>
攻撃者のターゲットに対して、たとえば「名門大学の新卒学生や取引先を装い、人事担当者に対して履歴書PDF付きのメールや業務に関するファイルを添付したメールを送る」など、ターゲットとなる人物が思わず開封してしまうような内容のメールを送ります。

<ビジネスメール詐欺>
多くは、自分の上司、同僚や見知った人物などとのこれまでの業務上のやり取りに攻撃者が直接介入し、取引先になりすまして、通常の業務プロセスやスケジュールに添って、いつも通り(ただし、振込先の口座が違うなど、一部の情報が異なる)のメールを送ります。

ビジネスメール詐欺の被害件数、被害額

IPAが毎年発表している「情報セキュリティ10大脅威」では、「ビジネスメール詐欺による被害」は2018年に初登場し、いきなり第3位にランクインしました。その後、2019年は2位、2020年は3位です。こうした、上位に居座り続ける脅威には、対策が難しく、いざ発生すると被害が大きなものになりやすいという傾向があります。

では、具体的にはどのくらい被害が出ているのでしょう。前出の米国IC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)によると、2013年10月~2016年5月の統計では、米国内外における被害件数は22,143件、被害額は約31億ドルでした。その後、2016年6月~2019年7月の統計では被害件数166,349件、被害額は約262億ドルとなり、件数、被害額ともに大きく増加しています。*1

日本のデータとしては、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が2019年に実施した調査結果があります。国内企業12社を対象としたアンケートによると、詐欺メールによって請求された金額の合計は、約24億円にのぼったそうです(実際の被害が発生しなかったものも含めて計上)。

英語? 日本語? ビジネスメール詐欺の文面

日本でビジネスメール詐欺が注目を集めるきっかけになった被害事例は、大手企業の海外法人で起こったものでした。そのため「ビジネスメール詐欺は英語」とイメージしがちなのですが、2018年7月には日本語メールによるビジネスメール詐欺の攻撃事例が報告されています。その後、メールの日本語化は着実に進んでおり、2020年のIPAによる注意喚起でも、巧妙化する日本語の偽メールへの警戒が呼びかけられています。たとえ海外法人を持たず海外の取引先が一社もないとしても、安心はできないと考えておくべきでしょう。

ビジネスメール詐欺に有効な対策、ふたつのアプローチ

情報収集プロセスへの対策

ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、「ビジネスメール詐欺実行のプロセス」のフィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取りにも有効です。

実行プロセスへの対策

ビジネスメール詐欺を防ぐには、詐欺メールを見抜くための体系的な対策が求められます。教育によりセキュリティリテラシーの向上を図る、口座の変更などがあったら必ず社内承認を経るといった研修や運用面での対策、そして、偽メールを検知するために電子署名を付与したり、メールセキュリティ製品を導入したりするといった技術的対策、さらに、自社ドメインとよく似たドメインが第三者によって取得されていないか調査を実施するなど、多面的な取り組みが効果を高めるでしょう。

ビジネスメール詐欺ではどこまで自社の情報を集められるのか?

ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と前に述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

そこで求められるのが、前に述べた「ビジネスメール詐欺実行のプロセス」の、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

なお、SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。このサービスでは、攻撃が成功した場合に社内の情報が一体どこまで収集されてしまうのか、どこまで侵入を許し何を知られてしまうのか、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。 もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

まとめ

  • ビジネスメール詐欺とは偽物のメールを送って不正な送金等を行わせる犯罪です。
  • 人間の弱点を突く、という点でソーシャルエンジニアリングのひとつと言うことができます。
  • メールアカウントの乗っ取りなどを行い、企業・組織とそこで働く人について徹底的かつ緻密な調査を実施します。
  • 「情報セキュリティ10大脅威」のベスト3に3年連続ランクインしている極めてやっかいな脅威です。
  • ビジネスメール詐欺を防ぐには、詐欺メールに照準を合わせた対策を多面的に実施することが効果的ですが、一般的なセキュリティ対策も役立ちます。

ずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

サービスに関する疑問や質問はこちらからお気軽にお問合せください。




Share

高まるAPT攻撃の脅威

Share

SQAT® 情報セキュリティ瓦版 2020年1月号

あらためて、「侵入前提」の備えを

「攻撃のターゲットに定めた組織に対し、高度かつ複雑な手法を用いて長期間にわたり執拗な攻撃を行う」―「APT」と呼ばれるタイプの攻撃の矛先が、今、日本にも向けられるようになっています。従来、APTには侵入を前提とした多層防御が有効とされてきましたが、国際的に注目度の高いイベントであるオリンピック・パラリンピックが目前に迫り、日本を対象とした攻撃がこれまでになく増えると予想される中、あらためて自組織の状況を点検し、セキュリティの強化を図る必要があります。


APT28とは

「APT」とは「Advanced Persistent Threat」(直訳すると「高度で持続的な脅威」)の略語で、日本では主に「高度標的型攻撃」という呼称が使われています。「標的型攻撃」は、文字どおり、特定の組織をターゲットにした攻撃を指します(図1参照)。この中でも高度な手法を用いた長期にわたるものが「APT」とみなされます。狙いを定めた相手に適合した方法・手段を用いて侵入・潜伏を図り、攻撃に必要な情報を入手するための予備調査も含め、執拗に活動を継続するのが特徴です。なお、セキュリティ機関や調査会社では、こうした攻撃が確認されると、攻撃の実行主体(APTグループ)を特定し、活動の分析に取り組みます。グループを追跡する際は、組織が自ら名乗る名称に加え、多くの場合、「APT+数字の連番」(例:「APT 1」「APT 2」)がグループ名として使用されています。

図1:標的型攻撃の主な手口

https://www.npa.go.jp/publications/statistics/cybersecurity/data/R01_kami_cyber_jousei.pdf

広範かつ大規模な攻撃活動

これまでに特定されたAPTグループの数は、上記連番方式により同定されているグループだけでも約40に上ります。国家レベルの組織による支持や支援を受けているとみられるものも多く存在し、その攻撃は高度であるだけでなく、広範かつ大規模です。直近では2019年10月に、ロシアの支援を受けているとみられる「APT28」(自称「Fancy Bear」)による脅迫メールが世界的な注目を集めました。

脅迫の手口は、「攻撃対象の組織のWebサイト、外部から接続可能なサーバ・インフラに対するDDoS攻撃を予告し、それを回避するための費用として仮想通貨を期日内に支払うよう要求する」というもので、危機感を煽るため実際にDDoS攻撃を行ったケースもありました。ペイメント、エンターテインメント、小売といった業種の複数組織を対象に同グループによる脅迫メールが送付されていることを、ドイツのセキュリティベンダが特定し、その後、JPCERT/CCにより日本国内においても複数の組織が同様のメールを受け取っていることが確認され、注意喚起が出されています。なお、同グループは、2016年の米大統領選挙のほか、政治団体やスポーツ団体などをターゲットにした攻撃への関与も疑われています。

 

地域・文化を超えるサイバー攻撃

従来、APT攻撃は主に欧米の組織を標的にしており、日本語という言語の特殊性などがハードルとなり日本企業は狙われにくいとの認識がありました。しかし、近年は、巧みな日本語を使用した、明らかに日本企業を標的とする攻撃が増加傾向にあります。

たとえば、独立行政法人情報処理推進機構(IPA)に報告されたサイバー攻撃に関する情報(不審メール、不正通信、インシデント等)の2019年の集計結果では、9月末時点で寄せられた攻撃情報、計897件のうち235件が標的型とみなされており、直近の7月~9月でその比率が顕著に上昇しています(表1参照)。当該データ113件のほぼ9割がプラント関連事業に対する攻撃で、実在すると思われる開発プロジェクト名や事業者名を詐称し、プラントに使用する資機材の提案や見積もり等を依頼する内容の偽メールが送信されています。IPAは、「現時点では、攻撃者の目的が知財の窃取にある(産業スパイ活動)のか、あるいはビジネスメール詐欺(BEC)のような詐欺行為の準備段階のものかは不明」としつつも、特定の組織へ執拗に攻撃が繰り返されていることから、これらをAPT攻撃の可能性がある標的型メールの一種に位置づけたと説明しています。

出典:サイバー情報共有イニシアティブ(J-CSIP)運用状況[2019年1月~3月]、[2019年4月~6月]、[2019年7月~9月]より当社作成

同様の傾向は、他国のセキュリティ機関の分析からも伺えます。タイのCSIRT組織ThaiCERTによるレポート『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』(2019年6月公開)を見ると、日本をターゲットに含めた攻撃は、もはや少ないとは言えません。たとえば、「Blackgear」と呼ばれる攻撃グループは日本を明白なターゲットにしており、C&Cの拠点を日本に置き、日本語の文書を使って攻撃を仕掛けます。また、2018年に確認された東南アジアの自動車関連企業をターゲットとした攻撃では、タイミングを同じくして特定の日本企業への攻撃が複数回観測されています。さらに、ターゲットとされる業種や狙われる情報の種類が多様であることも目を引きます。かつては、銀行のデータや個人情報がまず標的になりましたが、ここ数年、ターゲットの業界が航空宇宙・自動車・医療・製薬へとシフトし、ブラックマーケットでの高額取引が期待できる、各業界に固有の技術情報や特許出願前情報の奪取へと、攻撃目標が変化しています(表2参照)。

出典:『THREAT GROUP CARDS: A THREAT ACTOR ENCYCLOPEDIA』より当社作成

個人情報が流出した場合の損害賠償や事態収拾のための費用などを含めた事後対策費は平均6億3,760万円 1) と言われていますが、技術情報が流出した場合の想定被害額はその数十倍、数百倍に及ぶ可能性があります。技術情報のみならず、いわゆる「営業秘密」とされる知的財産の流出は、事業活動の根幹を揺るがす事態に発展しかねない規模の損失を招く恐れがあります。近年各社により提供されるようになっているサイバーセキュリティ保険等で損害補償対策を検討するのも一案ですが、国家の関与が疑われるAPTグループの攻撃被害については保険金が支払われない可能性もあります。より甚大な被害をもたらす攻撃を行うグループが、今、日本企業を新たな標的に定めつつあるという事実は、国内のあらゆる事業者が共有すべき攻撃の傾向となっています。

 

より強靭な「多層防御」でAPT攻撃の影響を最小限に抑える

APT攻撃への対策としては、従来、侵入を前提とした多層防御が有効とされてきましたが、足元でAPTグループによる日本への攻撃が増加傾向にある中、あらためて、多層防御の状況を点検し、攻撃耐性を高めていくことが求められています。防御策としてまず思い浮かぶのは、出入口を守るファイアウォールやUTM(統合脅威管理)、既知の脆弱性への対応などですが、それだけでは十分とは言えません。

APT攻撃での代表的な手口は、ターゲットにした組織への侵入を試みる目的で使用される標的型メールです。この入口対策を考えると、疑似的な攻撃メールを用いて開封率などを可視化して「ヒト」に対する教育訓練を施す「標的型メール訓練」は検討に値する対策の1つです。留意したいのは、開封率の低減を最重要視するのではなく、「開封されても仕方なし」というスタンスで取り組むことです。訓練の目標を「開封された後の対応策の見直しと初動訓練」に設定し、定められた対応フロー通りに報告が行われるか、報告を受けて対策に着手するまでにどれくらいの時間を要するかを可視化して、インシデント時の対応フローおよびポリシーやガイドラインの有効性を評価することをお勧めします。また、従業員のセキュリティ意識を向上させるために、教育および訓練と演習を実施するのが望ましいでしょう。

また、「多層防御」対策を立てる前提として、情報資産の棚卸しも重要です。日本企業は、他国に比較して、知的財産の重要性に対する認識が低く、情報の所在や管理が徹底されていないという指摘があります 3) 。組織内に存在する情報に関し、機密とするもの、公知であってよいものを分類し、それらがどこに格納されて、どのように利用されているかを可視化した上で、防御の対応をする機器・人・組織といったリソースを適切に振り分けて防御する仕組みを構築することが求められます。こうした仕組みは、侵入の早期発見にも繋がり、事業活動の継続を左右する重要情報へのアクセスを遮断することで、万一侵入を許しても被害を最小限に抑えられます。さらに感染経路・奪取可能な情報を洗い出し、感染範囲・重要情報へのアクセス状況・流出経路などを可視化できれば、システム内部へ拡散するリスクを把握することもできます。この「標的型攻撃のリスク可視化」により、「出口」対策へ効果的にリソースを有効活用することで、実効性をさらに効果的にリスク評価することが可能になります。

2020年、オリンピック・パラリンピックがいよいよ目前に迫り、日本への攻撃がさらに激しさを増していくと予想されます。同イベントには膨大な数の事業者が関与するため、セキュリティ的に脆弱な組織がAPT攻撃を受け、サプライチェーンやIoTを通じて被害が歯止めなく広がるリスクが大いに懸念されています。既存のセキュリティ体制をあらためて点検し、強靭化を図ることで被害を最小限に食い止めましょう。


注:
1)JNSA:2018年情報セキュリティインシデントに関する調査結果より
2) 同一のグループに対し、セキュリティ機関による命名、攻撃グループによる自称などを列挙
3) コンサルティング会社PwCが2017年に実施した調査より(https://www.pwc.com/jp/ja/knowledge/thoughtleadership/2018/assets/pdf/economic-crime-survey.pdf)日本における「組織がサイバー攻撃の狙いとなった不正行為」の種類を問う質問で「知的財産の盗難」と回答した比率は25%で、世界平均の12%と比べて顕著に多い数字となった。

参考情報: *1 https://www.thaicert.or.th/downloads/files/A_Threat_Actor_Encyclopedia.pdf


年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。
サービスに関する疑問や質問はこちらからお気軽にお問合せください。

Share