人間を巧妙に騙すビジネスメール詐欺 どのように防ぐか
シニアセールスエンジニア、CISSP、セールスエンジニアリング部 佐藤 剛氏(写真右)
メール詐欺がますます深刻化している。最近では企業だけでなく、著名人や国家にも被害が広がっているほどだ。
2020年2月にはアメリカの実業家、バーバラ・コーコラン氏がビジネスメール詐欺で4500万円を失ってしまった。攻撃者は彼女のアシスタントになりすまして会計係にメールを送り、虚偽の送金を指示した。送信元メールアドレスは本物と1文字違い。コーコラン氏は普段から不動産投資をしていることもあり、会計係は虚偽の送金指示だと見抜くことができなかった。幸いなことに、犯罪者の口座に振り込まれる前の経由銀行で送金をストップすることができたが、危うく大金が攻撃者の口座に振り込まれるところだった。
似たようなケースは2019年に日本の大手新聞社の米国子会社でも起きた。攻撃者が日本の親会社の役員になりすましたメールを送り、虚偽の送金を指示した。ここでは約32億円が流出してしまった。同じころ、日本の自動車関連企業のベルギー子会社も虚偽の指示により、約40億円の資金流出の被害に遭った。
2020年1月には、プエルトリコ政府機関に対してたびたび詐欺が実行され、合計で400万ドル以上の被害が生じた。ここでは経理担当者のパソコンが不正アクセスされ、メールアカウントが侵害された。つまり攻撃者が経理担当者のメールを不正に利用できる状態になっていたのだ。犯人は経理担当者のアカウントから他の職員に送金先の変更を依頼し、正規の送金が犯罪者に渡ってしまった。
どれも正規の人物からの指示と思わせる詐欺だ。流出した資金を回収するのは容易ではない。
日本プルーフポイント シニア エバンジェリストの増田 幸美氏はメール詐欺の特徴として「強盗のように直接オフィスなどに押し入ることなく、離れた国から実行できます」と挙げる。攻撃元を特定するのは困難であり、また攻撃側からすればコストパフォーマンスも高い。FBIの調べによると、2016年から2019年までの3年間の被害額合計は約2兆7000億円。1件あたりの平均損害額が約1,648万円と大きいのも特徴だ。
残念なことにメール詐欺は、毎年の増加率が約2倍にもなっていると報告されている。新たなマルウェア開発やネットワーク侵入などの高度な技術を必要とせず、どこかのサーバーと通信することもないため、アンチウィルスやエンドポイント製品では検知しにくい。
特効薬のないメール詐欺対策 空港セキュリティに例えてみると
厳密に言うと、メール詐欺には2種類ある。正規のアカウントに似せた偽のアカウントから送信するものがビジネスメール詐欺(BEC:Business Email Compromise)。似たように見せかけているものの、送信元は本物ではない。
一方、フィッシングなどでログイン情報を盗み、正規のアカウントから送信するものがメールアカウント侵害(EAC:Email Account Compromise)。こちらは、攻撃者が正規のユーザーのメールにアクセスしているため、場合によっては過去のメールやりとりが盗み見られていることもある。
[画像クリックで拡大表示]
増田氏は「メール詐欺に特効薬はない」と指摘する。技術的に高度ではないが実に巧妙で、人間は騙されてしまう。このようなメール詐欺における、必要な対応を空港セキュリティに例えて考えてみよう。
空港ではチェックイン時にパスポート検査や手荷物検査、旅行者の保安検査があり、いざインシデントが起これば空港警察が動く。これらの流れをメール送信のセキュリティに当てはめると次のようになる。
最初のパスポート検査は、メール認証に該当する。これは、メールヘッダーにある送信ドメインをチェックすることだ。そして手荷物検査は、セキュア Eメール ゲートウェイ。メールの中身に悪意あるURLや添付ファイルなどがないか確認する。他にも、送信者のレピュテーションなどのチェックも行われる。このあたりは機械のほうが得意だ。
また、保安検査は、セキュリティ意識向上トレーニングにあたる。検査員が探知機や接触検査、化学薬品検査から不審な特徴を見出すようにトレーニングを受けている。これと同様に、サイバーセキュリティでも攻撃手法やテクニックを理解して経験を積めば、文面から機械では見出せないような不審な兆候を人間が見出せる。
さらに、空港警察は脅威への対応。異常事態となれば、被害を最小限にするための権限や手段が警察に与えられているように、メール詐欺を検知すれば自動的に対応できるようにする必要がある。具体的には不審なメール削除、詐欺メール隔離、ユーザーパスワード再設定の強制、アカウント停止、セッションのキル、認証の実施などだ。
繰り返しになるがメール詐欺には特効薬はないため、多角的な対策を施していく必要がある。増田氏によると、メールで送金や取引指示をする場合は、真偽の確認ができるような手順の標準化策定と実施や、セキュリティ意識向上トレーニングのような人間力の強化。そして、セキュア Eメール ゲートウェイや多要素認証、DMARC(後述)など技術的な対策を導入するのが効果的だという。なおプルーフポイントではこのような包括的な対応が可能だとしている。
