人間を巧妙に騙すビジネスメール詐欺 どのように防ぐか
シニアセールスエンジニア、CISSP、セールスエンジニアリング部 佐藤 剛氏(写真右)
メール詐欺がますます深刻化している。最近では企業だけでなく、著名人や国家にも被害が広がっているほどだ。
2020年2月にはアメリカの実業家、バーバラ・コーコラン氏がビジネスメール詐欺で4500万円を失ってしまった。攻撃者は彼女のアシスタントになりすまして会計係にメールを送り、虚偽の送金を指示した。送信元メールアドレスは本物と1文字違い。コーコラン氏は普段から不動産投資をしていることもあり、会計係は虚偽の送金指示だと見抜くことができなかった。幸いなことに、犯罪者の口座に振り込まれる前の経由銀行で送金をストップすることができたが、危うく大金が攻撃者の口座に振り込まれるところだった。
似たようなケースは2019年に日本の大手新聞社の米国子会社でも起きた。攻撃者が日本の親会社の役員になりすましたメールを送り、虚偽の送金を指示した。ここでは約32億円が流出してしまった。同じころ、日本の自動車関連企業のベルギー子会社も虚偽の指示により、約40億円の資金流出の被害に遭った。
2020年1月には、プエルトリコ政府機関に対してたびたび詐欺が実行され、合計で400万ドル以上の被害が生じた。ここでは経理担当者のパソコンが不正アクセスされ、メールアカウントが侵害された。つまり攻撃者が経理担当者のメールを不正に利用できる状態になっていたのだ。犯人は経理担当者のアカウントから他の職員に送金先の変更を依頼し、正規の送金が犯罪者に渡ってしまった。
どれも正規の人物からの指示と思わせる詐欺だ。流出した資金を回収するのは容易ではない。
日本プルーフポイント シニア エバンジェリストの増田 幸美氏はメール詐欺の特徴として「強盗のように直接オフィスなどに押し入ることなく、離れた国から実行できます」と挙げる。攻撃元を特定するのは困難であり、また攻撃側からすればコストパフォーマンスも高い。FBIの調べによると、2016年から2019年までの3年間の被害額合計は約2兆7000億円。1件あたりの平均損害額が約1,648万円と大きいのも特徴だ。
残念なことにメール詐欺は、毎年の増加率が約2倍にもなっていると報告されている。新たなマルウェア開発やネットワーク侵入などの高度な技術を必要とせず、どこかのサーバーと通信することもないため、アンチウィルスやエンドポイント製品では検知しにくい。
特効薬のないメール詐欺対策 空港セキュリティに例えてみると
厳密に言うと、メール詐欺には2種類ある。正規のアカウントに似せた偽のアカウントから送信するものがビジネスメール詐欺(BEC:Business Email Compromise)。似たように見せかけているものの、送信元は本物ではない。
一方、フィッシングなどでログイン情報を盗み、正規のアカウントから送信するものがメールアカウント侵害(EAC:Email Account Compromise)。こちらは、攻撃者が正規のユーザーのメールにアクセスしているため、場合によっては過去のメールやりとりが盗み見られていることもある。
[画像クリックで拡大表示]
増田氏は「メール詐欺に特効薬はない」と指摘する。技術的に高度ではないが実に巧妙で、人間は騙されてしまう。このようなメール詐欺における、必要な対応を空港セキュリティに例えて考えてみよう。
空港ではチェックイン時にパスポート検査や手荷物検査、旅行者の保安検査があり、いざインシデントが起これば空港警察が動く。これらの流れをメール送信のセキュリティに当てはめると次のようになる。
最初のパスポート検査は、メール認証に該当する。これは、メールヘッダーにある送信ドメインをチェックすることだ。そして手荷物検査は、セキュア Eメール ゲートウェイ。メールの中身に悪意あるURLや添付ファイルなどがないか確認する。他にも、送信者のレピュテーションなどのチェックも行われる。このあたりは機械のほうが得意だ。
また、保安検査は、セキュリティ意識向上トレーニングにあたる。検査員が探知機や接触検査、化学薬品検査から不審な特徴を見出すようにトレーニングを受けている。これと同様に、サイバーセキュリティでも攻撃手法やテクニックを理解して経験を積めば、文面から機械では見出せないような不審な兆候を人間が見出せる。
さらに、空港警察は脅威への対応。異常事態となれば、被害を最小限にするための権限や手段が警察に与えられているように、メール詐欺を検知すれば自動的に対応できるようにする必要がある。具体的には不審なメール削除、詐欺メール隔離、ユーザーパスワード再設定の強制、アカウント停止、セッションのキル、認証の実施などだ。
繰り返しになるがメール詐欺には特効薬はないため、多角的な対策を施していく必要がある。増田氏によると、メールで送金や取引指示をする場合は、真偽の確認ができるような手順の標準化策定と実施や、セキュリティ意識向上トレーニングのような人間力の強化。そして、セキュア Eメール ゲートウェイや多要素認証、DMARC(後述)など技術的な対策を導入するのが効果的だという。なおプルーフポイントではこのような包括的な対応が可能だとしている。
なりすまし防止のための標準技術「DMARC」概要から登録まで
メール詐欺対策は多岐にわたるものの、今回はメール認証「DMARC」にフォーカスを当てる。
DMARC(Domain-based Message Authentication, Reporting and Conformance)はEメール認証のためのプロトコル。ドメインのなりすましを防ぐのに効果的な技術だ。しかも最小限の対策でも、抑止効果が期待できる。やらない理由がないくらいだ。
また、Google、Facebook、Microsoftなどもメールのなりすましや改ざんを防ぐことを目的として「DMARC.org」を設立し、普及を進めている。
もともとメールは古くからあるインターネットのコミュニケーション手段だ。古いためプロトコルはシンプルで、厳しいセキュリティが施されていない。送信元の改ざんも簡単にできてしまう。そこで送信元ドメインの確認のための手法としてSPF(Sender Policy Framework)があり、メールサーバーで使用するIPアドレスを登録しておくことができる。
また改ざん防止にはDKIM(DomainKeys Identified Mail)があり、こちらはメールに電子署名を添付することで改ざんされてないかを確認できる。ところが、SPFとDKIMではなりすましメールを完全に防ぐことはできないのだ。
そこで、DMARCはSPFとDKIMを補強し、なりすまし防止を狙う。送信元ドメイン側がDMARCレコードをDNSに登録することで認証やレポート機能が加わり、なりすまし検知や不正抑止に役立てる。なりすましメールが送られれば、本来のドメインを持つメールサーバーにDMARCレポートが送信される。このとき、受信側でDMARC検証機能を有効にしておくことで認証の結果により受信メールを検疫し、拒否することができる。
実施すべき最低限の作業は、実にシンプルだ。送信側で使用するDNSサーバーにDMARCのためのテキストレコードを1行追加して、サービスを再起動またはリロードすればいい。
もし、DKIMを実施していなくても、SPFを実施していればDMARCは導入可能だ。またDNSに変更を加えるため「何か間違ってメール送受信が止まったら困る」と心配する人もいるだろう。そこで、日本プルーフポイント シニアセールスエンジニア、CISSP、セールスエンジニアリング部の佐藤 剛氏は「ポリシーを"none"に設定するところから始めましょう」とアドバイスをおくる。
DMARCレコード登録は、なりすまし防止対策の一歩
さらに、DMARCで知っておくべきことがある。DMARCレコードは公開情報のため、簡単に誰でも検索可能であるという点だ。
攻撃者の視点で考えてみよう。なりすましメールを送信する時、攻撃対象のドメインにDMARCレコードがあればレポート機能で検知されてしまうリスクが高くなる。そのため攻撃者はリスクを避け、DMARCを導入していないドメインを選ぶだろう。例えるなら、強盗が監視カメラのついている店や住居を避ける行動心理と同じである。だからこそ、DMARCレコードを登録しておくことは、なりすまし防止の抑止力になるのだ。
実際にDMARCを導入することで不審なメールが激減するケースもある。ある企業では平均して1日に10万通、多い日は100万通ほど届いていたものの、DMARC導入後に不審なメールがほぼぴたりと止んだそうだ。これは、従業員やスタッフの生産性低下を防ぐことにも繋がる。佐藤氏は「DMARCレコードは、日本プルーフポイントのWebサイト※からも簡単に追加すべきレコードを確認することができます」と案内した。
なおYahoo!メールやGmailなど、個人が使う無料のメールサービスではすでにDMARCが導入済みだ。特にGoogleでは、2020年7月からDMARC認証結果を可視化する取り組みを始めており、DMARC認証済みドメインから送付された正規のメールは企業ロゴなどが表示されるため、なりすましかどうか判断しやすい。
個人向けのメールサービスにおいてはDMARCが標準的になっているものの、企業においては導入が進んでいない。アメリカやカナダでは7割弱、ヨーロッパでは半数から6割程度がDMARC認証を導入。さらに、日本のNikkei225企業においては、23%と導入の遅れが目立つ。そのため、ビジネスメール詐欺の標的として、DMARCを導入していない企業が狙われるという状況になっている。
増田氏は「テレワークの弱点をついてメール詐欺は急増しています。あなたの組織になりすました攻撃は、あなたの顧客や取引先企業にもおよび、あなたの組織のブランドを傷つけることになります。メール詐欺に特効薬はありません。人を中心に作るアプローチと最新のテクノロジーを組み合わせてゲームチェンジしましょう」と呼びかけた。
