EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

100万通の不審メールがピタリと止む DMARC認証でビジネスメール詐欺を防ぐ方法とは

edited by Security Online   2020/10/13 11:00

 ビジネスメール詐欺とは、メールで取引先企業や上司などになりすまし送金指示を行うなどして、不正に金銭や情報を横領する犯罪のことだ。近年、増加傾向にあるところに、コロナ禍のリモートワーク環境がさらに追い打ちをかけている。メール詐欺の最新動向から被害防止に有効なメール認証DMARCまで、日本プルーフポイントが解説する。

人間を巧妙に騙すビジネスメール詐欺 どのように防ぐか

日本プルーフポイント シニア エバンジェリスト 増田 幸美氏(写真左)シニアセールスエンジニア、CISSP、セールスエンジニアリング部 佐藤 剛氏(写真右)
日本プルーフポイント シニア エバンジェリスト 増田 幸美氏(写真左)
シニアセールスエンジニア、CISSP、セールスエンジニアリング部 佐藤 剛氏(写真右)

 

 メール詐欺がますます深刻化している。最近では企業だけでなく、著名人や国家にも被害が広がっているほどだ。

 2020年2月にはアメリカの実業家、バーバラ・コーコラン氏がビジネスメール詐欺で4500万円を失ってしまった。攻撃者は彼女のアシスタントになりすまして会計係にメールを送り、虚偽の送金を指示した。送信元メールアドレスは本物と1文字違い。コーコラン氏は普段から不動産投資をしていることもあり、会計係は虚偽の送金指示だと見抜くことができなかった。幸いなことに、犯罪者の口座に振り込まれる前の経由銀行で送金をストップすることができたが、危うく大金が攻撃者の口座に振り込まれるところだった。

 似たようなケースは2019年に日本の大手新聞社の米国子会社でも起きた。攻撃者が日本の親会社の役員になりすましたメールを送り、虚偽の送金を指示した。ここでは約32億円が流出してしまった。同じころ、日本の自動車関連企業のベルギー子会社も虚偽の指示により、約40億円の資金流出の被害に遭った。

 2020年1月には、プエルトリコ政府機関に対してたびたび詐欺が実行され、合計で400万ドル以上の被害が生じた。ここでは経理担当者のパソコンが不正アクセスされ、メールアカウントが侵害された。つまり攻撃者が経理担当者のメールを不正に利用できる状態になっていたのだ。犯人は経理担当者のアカウントから他の職員に送金先の変更を依頼し、正規の送金が犯罪者に渡ってしまった。

 どれも正規の人物からの指示と思わせる詐欺だ。流出した資金を回収するのは容易ではない。

 日本プルーフポイント シニア エバンジェリストの増田 幸美氏はメール詐欺の特徴として「強盗のように直接オフィスなどに押し入ることなく、離れた国から実行できます」と挙げる。攻撃元を特定するのは困難であり、また攻撃側からすればコストパフォーマンスも高い。FBIの調べによると、2016年から2019年までの3年間の被害額合計は約2兆7000億円。1件あたりの平均損害額が約1,648万円と大きいのも特徴だ。

 残念なことにメール詐欺は、毎年の増加率が約2倍にもなっていると報告されている。新たなマルウェア開発やネットワーク侵入などの高度な技術を必要とせず、どこかのサーバーと通信することもないため、アンチウィルスやエンドポイント製品では検知しにくい。

特効薬のないメール詐欺対策 空港セキュリティに例えてみると

 厳密に言うと、メール詐欺には2種類ある。正規のアカウントに似せた偽のアカウントから送信するものがビジネスメール詐欺(BEC:Business Email Compromise)。似たように見せかけているものの、送信元は本物ではない。

 一方、フィッシングなどでログイン情報を盗み、正規のアカウントから送信するものがメールアカウント侵害(EAC:Email Account Compromise)。こちらは、攻撃者が正規のユーザーのメールにアクセスしているため、場合によっては過去のメールやりとりが盗み見られていることもある。

講演資料より掲載、以下同
講演資料より掲載、以下同
[画像クリックで拡大表示]

 増田氏は「メール詐欺に特効薬はない」と指摘する。技術的に高度ではないが実に巧妙で、人間は騙されてしまう。このようなメール詐欺における、必要な対応を空港セキュリティに例えて考えてみよう。

 空港ではチェックイン時にパスポート検査や手荷物検査、旅行者の保安検査があり、いざインシデントが起これば空港警察が動く。これらの流れをメール送信のセキュリティに当てはめると次のようになる。

 最初のパスポート検査は、メール認証に該当する。これは、メールヘッダーにある送信ドメインをチェックすることだ。そして手荷物検査は、セキュア Eメール ゲートウェイ。メールの中身に悪意あるURLや添付ファイルなどがないか確認する。他にも、送信者のレピュテーションなどのチェックも行われる。このあたりは機械のほうが得意だ。

 また、保安検査は、セキュリティ意識向上トレーニングにあたる。検査員が探知機や接触検査、化学薬品検査から不審な特徴を見出すようにトレーニングを受けている。これと同様に、サイバーセキュリティでも攻撃手法やテクニックを理解して経験を積めば、文面から機械では見出せないような不審な兆候を人間が見出せる

 さらに、空港警察は脅威への対応。異常事態となれば、被害を最小限にするための権限や手段が警察に与えられているように、メール詐欺を検知すれば自動的に対応できるようにする必要がある。具体的には不審なメール削除、詐欺メール隔離、ユーザーパスワード再設定の強制、アカウント停止、セッションのキル、認証の実施などだ。

 繰り返しになるがメール詐欺には特効薬はないため、多角的な対策を施していく必要がある。増田氏によると、メールで送金や取引指示をする場合は、真偽の確認ができるような手順の標準化策定と実施や、セキュリティ意識向上トレーニングのような人間力の強化。そして、セキュア Eメール ゲートウェイや多要素認証、DMARC(後述)など技術的な対策を導入するのが効果的だという。なおプルーフポイントではこのような包括的な対応が可能だとしている。


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online の取材・記事も担当しています。 Webサイト:http://emiekayama.net

  • 関口 達朗(セキグチ タツロウ)

    フリーカメラマン 1985年生まれ。 東京工芸大学芸術学部写真学科卒業。大学卒業後、小学館スクウェア写真事業部入社。契約満期後、朝日新聞出版写真部にて 政治家、アーティストなどのポートレートを中心に、物イメージカットなどジャンルを問わず撮影。現在自然を愛するフリーカメラマンとして活動中。

バックナンバー

連載:Security Online Day 2020レポート

もっと読む

All contents copyright © 2007-2020 Shoeisha Co., Ltd. All rights reserved. ver.1.5