「情報セキュリティ10大脅威」3年連続ベスト3入り、
ビジネスメール詐欺を防ぐ手立ては?

Share

今回の記事では、2017年末に日本の航空大手の海外法人が被害を受けたことで一気に警戒感が高まった「ビジネスメール詐欺」について解説します。ソーシャルエンジニアリングの手法を応用したビジネスメール詐欺の手口や攻撃プロセスを説明し、被害件数や被害額なども紹介しながら、どんな対策が有効性が高いのかを考えます。

ビジネスメール詐欺とは

ビジネスメール詐欺とは、入念に準備した偽の電子メールを企業・組織の従業員に送り、不正に送金などを行わせる犯罪です。英語は「Business E-mail Compromise」です。「BEC」と略され、「ビーイーシー」あるいは「ベック」と呼ばれることもあります。

ビジネスメール詐欺の種類

ビジネスメール詐欺にはどのような種類があるのでしょう。独立行政法人情報処理推進機構(IPA)による注意喚起では、詐欺の手口にもとづく、下記5タイプの分類が使用されています。

・取引先との請求書の偽装
・経営者等へのなりすまし
・窃取メールアカウントの悪用
・社外の権威ある第三者へのなりすまし
・詐欺の準備行為と思われる情報の詐取

なお、この分類は、米国政府系機関のIC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)の定義によるものであり、IPA以外にも、多くのセキュリティ機関で使用されているものです。実際のケースでは、しばしば上記に挙げた手口を複数組み合わせる形で攻撃が実施されます。

ビジネスメール詐欺は人の心理の弱点を突く

ビジネスメール詐欺では、メールアカウント窃取などで技術的な手口も使いつつ、人間の認知能力・心理などの弱みを突いた、巧みなソーシャルエンジニアリングが行われます。

得意先の担当者になりすまし「振込先の口座が今月から変更になった」と連絡する、海外出張中の社長を装い「緊急な案件で資金が必要だ」と確認の余地なく従わせる、「明日の正午までに」と時間を区切って切迫感を高める、頼れる知人のふりをして「君にしか相談できない」と内密感をかもし出し発覚を遅らせる、などなど、やり方は実に多彩です。攻撃者は、ある意味、人間心理を知り尽くした詐欺のプロフェッショナルとも言え、標的となった相手を信じ込ませるために、ありとあらゆる手段を総動員します。

ビジネスメール詐欺実行のプロセス

ビジネスメール詐欺では、詐欺メールの送り先となるターゲットは、職務等にもとづいてあらかじめ絞り込まれます(例:送金に関わる経理担当者など)。もし同じ職務を担当する社員が複数名いるなら、事前の情報収集で「より攻撃に弱い」とみなせる人物がターゲットになります。典型的な実施プロセスは下記の通りです。

1.標的とする企業の選定
2.フィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取り
3.乗っ取った電子メールアカウントを用いた情報の収集・分析
 例:
 ・組織図や人事情報
 ・意思決定者や経理担当者などのキーパーソンの氏名・役職・権限・業務管掌
 ・企業の業務プロトコルや各種社内規定、企業文化
 ・毎月の経理処理のスケジュール
 ・主要取引先の担当者氏名・役職・権限、取引の詳細
 ・ターゲット候補に関する情報
 (性格や気質、言葉遣いの癖、趣味やプライベート、出張・休暇情報など)
4.ターゲット、攻撃シナリオの決定
 例:経理担当者A氏をターゲットにし、大口取引先B社の経理担当者C氏になりすます
5.詐欺ドメインの取得
 例:大口取引先B社とよく似たドメインの取得、メールサーバの設定 他
6.なりすましメール送信
 例:A氏に対し、C氏を装った電子メールを送信
7.攻撃成功
(なりすましであることに気づかれることなく、メールの内容にもとづく行動を起こさせる)
 例:A氏がなりすましメールの指示通りに、攻撃者の口座へ入金処理を実施

ビジネスメール詐欺と標的型攻撃メールとの違い

ビジネスメール詐欺は、「ターゲットを絞り込む」という点で、「APT」と呼ばれる標的型攻撃で使われるメールと似ていますが、その目的をみると、両者には明らかな違いがあるといえます。 標的型攻撃の最終的な目標は、多くの場合、航空エンジン設計や新薬開発のような、莫大なお金と時間をかけて生み出された知的財産だったり、ときに重要な国家機密だったりします。一方、ビジネスメール詐欺は、単に「なるべくたくさんのお金をかすめ取る」ことでその目的が達成されます。金銭的報酬を最終目的に、ターゲットについて調べに調べたうえで実行されるのが、ビジネスメール詐欺といえるでしょう。

それぞれの攻撃シミュレーション

<標的型攻撃メール>
攻撃者のターゲットに対して、たとえば「名門大学の新卒学生や取引先を装い、人事担当者に対して履歴書PDF付きのメールや業務に関するファイルを添付したメールを送る」など、ターゲットとなる人物が思わず開封してしまうような内容のメールを送ります。

<ビジネスメール詐欺>
多くは、自分の上司、同僚や見知った人物などとのこれまでの業務上のやり取りに攻撃者が直接介入し、取引先になりすまして、通常の業務プロセスやスケジュールに添って、いつも通り(ただし、振込先の口座が違うなど、一部の情報が異なる)のメールを送ります。

ビジネスメール詐欺の被害件数、被害額

IPAが毎年発表している「情報セキュリティ10大脅威」では、「ビジネスメール詐欺による被害」は2018年に初登場し、いきなり第3位にランクインしました。その後、2019年は2位、2020年は3位です。こうした、上位に居座り続ける脅威には、対策が難しく、いざ発生すると被害が大きなものになりやすいという傾向があります。

では、具体的にはどのくらい被害が出ているのでしょう。前出の米国IC3(Internet Crime Complaint Center:インターネット犯罪苦情センター)によると、2013年10月~2016年5月の統計では、米国内外における被害件数は22,143件、被害額は約31億ドルでした。その後、2016年6月~2019年7月の統計では被害件数166,349件、被害額は約262億ドルとなり、件数、被害額ともに大きく増加しています。*1

日本のデータとしては、一般社団法人 JPCERTコーディネーションセンター(JPCERT/CC)が2019年に実施した調査結果があります。国内企業12社を対象としたアンケートによると、詐欺メールによって請求された金額の合計は、約24億円にのぼったそうです(実際の被害が発生しなかったものも含めて計上)。

英語? 日本語? ビジネスメール詐欺の文面

日本でビジネスメール詐欺が注目を集めるきっかけになった被害事例は、大手企業の海外法人で起こったものでした。そのため「ビジネスメール詐欺は英語」とイメージしがちなのですが、2018年7月には日本語メールによるビジネスメール詐欺の攻撃事例が報告されています。その後、メールの日本語化は着実に進んでおり、2020年のIPAによる注意喚起でも、巧妙化する日本語の偽メールへの警戒が呼びかけられています。たとえ海外法人を持たず海外の取引先が一社もないとしても、安心はできないと考えておくべきでしょう。

ビジネスメール詐欺に有効な対策、ふたつのアプローチ

情報収集プロセスへの対策

ウイルス対策・不正アクセス対策・OSの更新・IDやパスワードの管理・二要素認証の採用など、一般的なセキュリティ対策は、「ビジネスメール詐欺実行のプロセス」のフィッシング、マルウェア感染などのサイバー攻撃による電子メールアカウント乗っ取りにも有効です。

実行プロセスへの対策

ビジネスメール詐欺を防ぐには、詐欺メールを見抜くための体系的な対策が求められます。教育によりセキュリティリテラシーの向上を図る、口座の変更などがあったら必ず社内承認を経るといった研修や運用面での対策、そして、偽メールを検知するために電子署名を付与したり、メールセキュリティ製品を導入したりするといった技術的対策、さらに、自社ドメインとよく似たドメインが第三者によって取得されていないか調査を実施するなど、多面的な取り組みが効果を高めるでしょう。

ビジネスメール詐欺ではどこまで自社の情報を集められるのか?

ビジネスメール詐欺は「ターゲットについて調べに調べたうえで実行される」と前に述べました。相手を欺くために練りに練られたメールを、最も攻撃に弱いと見立てたターゲットに送る。それがターゲットの元に届いてしまったとき、その後できる対策は決して多くはありません。

そこで求められるのが、前に述べた「ビジネスメール詐欺実行のプロセス」の、なるべく早期の段階にフォーカスした対策です。具体的には、2および3のフェーズ、すなわち「電子メールアカウントが乗っ取られて攻撃のための情報が収集、分析される」段階を想定してセキュリティ課題を抽出し、対策を立てることをおすすめします。「シフトレフト」に関する記事で言及しているように、対策は、プロセスの前段階であればあるほど効果的です。

なお、SQAT.jpを運営する株式会社ブロードバンドセキュリティでは、標的型攻撃への対策として開発された「SQAT® APT」というサービスを提供しています。このサービスでは、攻撃が成功した場合に社内の情報が一体どこまで収集されてしまうのか、どこまで侵入を許し何を知られてしまうのか、といった点を把握できるようになっており、ビジネスメール詐欺対策としても威力を発揮します。 もっともうま味のある成果を狙って、もっとも弱いところを突いてくる。それがビジネスメール詐欺です。起こりうる被害を可視化して対策を立て、早い段階で攻撃の芽を摘みましょう。

まとめ

  • ビジネスメール詐欺とは偽物のメールを送って不正な送金等を行わせる犯罪です。
  • 人間の弱点を突く、という点でソーシャルエンジニアリングのひとつと言うことができます。
  • メールアカウントの乗っ取りなどを行い、企業・組織とそこで働く人について徹底的かつ緻密な調査を実施します。
  • 「情報セキュリティ10大脅威」のベスト3に3年連続ランクインしている極めてやっかいな脅威です。
  • ビジネスメール詐欺を防ぐには、詐欺メールに照準を合わせた対策を多面的に実施することが効果的ですが、一般的なセキュリティ対策も役立ちます。

ずは無料で資料をダウンロード

SQAT®APTの詳しいサービス内容が記載されている資料がダウンロードできるURLをお送りいたします。
見積もりについてのご相談は、お問い合わせよりご連絡ください。


 

 

 

年二回発行されるセキュリティトレンドの詳細レポート。BBSecで行われた診断の統計データも掲載。

 

 

サービスに関する疑問や質問はこちらからお気軽にお問合せください。


 

 

 

 

Share