サイバー・セキュリティ・ソリューション(CSS)部
エバンジェリスト 内山 史一
こんにちは。
CSS
部 エバンジェリストの内山です。
先月
27
日、関東での猛烈なゲリラ豪雨には驚かされました。ちょうど帰宅時間だったということもあり、鉄道を利用する皆さまにも少なからず影響があったかと思います。
かつて経験したことのない落雷に、少しでも早く兆候をキャッチできるよう、思わずゲリラ豪雨予報のスマートフォンアプリをインストールしてしまいました。
さて、ここからが本題です。
先日、独立行政法人情報処理推進機構(以下、
IPA
)より、日本語メールの攻撃事例を確認したとして、「ビジネスメール詐欺(
BEC
:
Business E-mail Compromise
)」に関する注意喚起が行われました。
外部サイト:
【注意喚起】偽口座への送金を促す
“
ビジネスメール詐欺
”
の手口(続報)
※特に企業の経理・財務部門の方々は、まずは様々なビジネスメール詐欺の手口を認識することが重要ですので、ぜひこの注意喚起をご参照ください。
ビジネスメール詐欺は、ゲリラ豪雨と異なり、発生の兆候を予測することが困難です。
ある日、私たちのもとへ送金処理を依頼するメールが届いた際、適切な対処をとることができるように、本エントリーでは昨年公表されたビジネスメール詐欺の事例を振り返りつつ、以下ポイントに絞って話を進めたいと思います。
・過去事例を振り返る
・私たちができる対策
・ビジネスメール詐欺の怖さを知る
【過去事例を振り返る】
ここで振り返るのは、
2017
年
12
月に公表された日系大手航空会社で発生した
2
件のビジネスメール詐欺です。
この報道を知ったとき、被害金額(
2
件で約
3.8
億円)の大きさよりも、詐欺行為やサイバー攻撃に対する対策が一般的な企業より進んでいると思われる大企業でさえも欺かれてしまうその手口に驚かされました。
様々なメディアで公開された情報を見ると、ばらまき型メールに見るような架空詐欺とは異なる、ある種、標的型攻撃に近い高度な手口だったように思えます。
(1)1
件目:
・大手航空会社の米国支店に、貨物事業所の地上業務委託料請求のメールが届く
-
取引先とは別のメールアドレス
-
不審に思った担当者が、本来のアドレスを加えた上で照会したが、
正規の取引先より事実との回答あり
-
振込先を香港の銀行口座に指定
・大手航空会社の担当者は
2017
年
8
月下旬と
9
月上旬の
2
回に分け
地上業務委託料(約
2400
万円)を送金
(2)2
件目:
・
2017
年
9
月下旬、大手航空会社本社に米国金融会社の担当者を装い、
旅客機のリース料請求のメールが届く
-
画面上は取引先の名前とメールアドレス
(メールアドレスが
1
文字違っていたとの情報もあり)
-
直前に送付された正規請求書の訂正版を装い、振込先を香港の銀行口座に指定
-
メールに添付された請求書は本物に酷似しておりサインもされていた
-
リース料支払い遅延による旅客機の使用停止を恐れ確認より支払いを優先した背景あり
・大手航空会社の担当者は支払い期日にリース料金(約
3
億
6
千万円)を送金
・その後、米国金融会社より督促が来て、事態が発覚
改めて振り返ると、この詐欺にかかわった何者かは大手航空会社の支払いプロセスに精通していたことは想像に難くないことがお分かりいただけたでしょう。
1
件目の「不審に思った担当者が照会したところ、正規の取引先より事実との回答」が正しかったとしたら、取引先担当者のメールアカウントが乗っ取られていたことになります。
さらに
2
件目では、直前に送付された正規請求書の後に、正規担当者を装って本物に酷似した請求書を送りつけているわけですから、メールを盗み見していた可能性は濃厚でしょう。
この事例でメールを盗み見する前にどのような事前行為が行われていたか不明ですが、メールを盗み見するには、ばらまき型メールあるいは標的型メールを企業へ送り、被害者のメール認証情報を盗み取る必要があります。
メール認証情報を盗み取る手口としては、フィッシングサイトへ誘導してメール認証情報を入力させる、「キーロガー」に感染させる、といったあたりが一般的な手口です。
その他、悪意のある第三者にメールサーバへ不正アクセスされ、メール認証情報を盗み取られることも考えられます。
本項の事例以外にも、経営者や社外の権威ある第三者(例えば弁護士など)になりすまし偽の振込先へ送金させる等、ビジネスメール詐欺にも複数のタイプがあります。
(ビジネスメール詐欺に関する事例詳細は、先にご案内した
IPA
の注意喚起をご参照ください。)
【私たちにできる対策】
さて、ビジネスメール詐欺は、取引先担当者へのなりすまし、本物と酷似したメール本文や添付ファイルが用いられる、というような人が騙されやすい要素が多く、本物かどうかの判別が難しいといえます。
私たちにできる対策としては、人が騙されやすいところではメール以外での確認やプロセスの見直しが必要です。また、その背景にはマルウェア感染が考えられるなど、単なる詐欺という括りではなく総合的なセキュリティ対策を考えるべきでしょう。
(1)口座変更と急な送金依頼は疑う
従来とは異なる口座への振込先変更や急な送金依頼は疑うべきです。
メールは盗み見されていることを想定し、確認手段は電話にすべきでしょう。
送られたメールの署名に記載された連絡先は偽装されている可能性があるため、
信頼のおける入手元で入手した電話番号へ連絡し「請求が正しい」か確認します。
(2)送金プロセスが適切か見直す
ビジネスメール詐欺は、「いつもの取引先だから大丈夫だろう」との
思い込み(人の脆弱な部分)を悪用します。
送金プロセスにおいて、処理の利便性を優先したシングルチェックがあるなら、
今一度適切かどうか見直すべきでしょう。
その結果にもとづき、企業のプロセス・規程を改訂し、社員への周知と改訂した
プロセスによる堅確な運営が重要です。
(3)エンドポイントの対策は万全に
ビジネスメール詐欺において、本物かどうか判別を困難にさせる一つの要因として、
メール認証情報の窃取があります。
「キーロガー」等のマルウェア感染によるメール認証情報の漏洩を防ぐには、
PC
のエンドポイント対策を万全なものにすべきです。
具体的には「ウイルス対策ソフトを導入し、定義ファイルを最新の状態に維持する」
「
OS
やアプリケーションにセキュリティパッチを適用し、最新の状態に維持する」
「不審なメールの添付ファイルを開かない」です。
いわゆる、不審メールや標的型攻撃の対策と同等です。
(4)メール/Webセキュリティ製品の活用
「キーロガー」等のマルウェア添付メールが
PC
に配送される前に遮断する、
フィッシングサイトへのアクセスを遮断することが可能な製品・ソリューションの
導入を検討することも、私たちにできる対策の一つです。
(5)メールの不正アクセス対策の検討
社外からアクセス可能なメールサーバやクラウドサービス(
Gmail
など)を
利用している場合、アクセス元の制限や多要素認証、不正ログイン監視といった
不正アクセス対策が重要です。
実際にメールサーバへの不正アクセスに起因した迷惑メールの踏み台や
情報漏洩等のセキュリティインシデント事例が後を絶ちませんので、
ビジネスメース詐欺に限った対策と捉えずに検討を推奨いたします。
このようにビジネスメール詐欺の第一段階であるメール認証情報の窃取に対する技術的対策と、詐欺に対する意識を高めるためのユーザー教育を組み合わせて実装することを推奨いたします。
【ビジネスメール詐欺の怖さを知る】
冒頭で触れたとおり、
IPA
より日本語によるビジネスメール詐欺が確認されたとして注意喚起が行われました。
今後、日本語によるビジネスメール詐欺が広がるとしたら、海外との送金処理がない(英語によるビジネスメールのやり取りがない)、国内の一般企業・組織も被害にあう可能性が急激に高まるとされています。
ビジネスメール詐欺は、攻撃が成功すると企業・組織に多額の損失を与える、今や看過できない脅威です。
その怖さ、そして手口の巧妙さは、企業・組織の情報システム部門の方々はよく理解されているかと思います。
しかし、その一方で経理・財務部門の方々はいかがでしょうか。
経理・財務部門の方々が担当する送金処理は、
IT
によるセキュリティコントロールがかけづらいプロセスで、まさに詐欺をはたらく何者かによって
"
人の脆弱性
"
が狙われるところです。
ビジネスメール詐欺というセキュリティリスクに対して、システムだけで防ぐのは限界があるのは明白でしょう。
情報システム部門の方々は、ぜひ自組織の社員(特に
IT
との関わりが薄い部門)に対し、
"
ビジネスメール詐欺の怖さ
"
を学んでもらうセキュリティ教育・啓発活動といった機会を設けて頂きたいと思います。
ビジネスメール詐欺への対抗は、まさに
”
正しくその怖さを知る
”
ところから始まるのです。
今後も脅威動向を注視しつつ、皆さまのセキュリティ対策強化に何かしらお役に立てる情報を提供してまいります。
それでは、次のエントリーでお会いしましょう!
当サイトの内容、テキスト、画像等の転載・転記・使用する場合は問い合わせよりご連絡下さい。
エバンジェリストによるコラムやセミナー情報、
IDグループからのお知らせなどをメルマガでお届けしています。
