人間をだますメールが急増中~CEOやCFOが解雇される事態も
パターンファイルで、既知の不正プログラムや不正なサイトを検出してきたアンチウィルスソフト。最近では、サンドボックス(仮想環境)で挙動を確認する機能なども追加され、不正なプログラムや不正なリンクを、人間がメールを開く前にブロックしてくれるようになってきた。こうした防御機能を越えて攻撃するためには、新しい技術を常に開発しなければならない。攻撃者からすれば、ハードルはどんどん高くなっているのだ。
こうした現状を反映しているのだろう、近年は、コンピュータではなく人間の脆弱性に目を向ける攻撃者が増えている。ビジネスメール詐欺(Business Email Compromise、以下BEC)の急増は、その証左といえよう。
BECは業務メールで相手をだまし、お金などを振り込ませるもので、いわば「振り込め詐欺(オレオレ詐欺)」のビジネス版だ。振り込め詐欺は電話を通じて高齢者を狙うが、BECはメールを通じてビジネスパーソンをピンポイントに狙う。
攻撃者にとってBECが魅力的なのは、人間のほうが脆弱だからというだけではない。人間への攻撃は、うまく狙いを定めれば大きな成果が得られる可能性があるからだ。そのやり口は、映画やフィクションを見るように人間の盲点をつく。コンピュータウィルスからマルウェアなど、ユーザーに届く不正なメールをブロックする技術も、日々高度化している。
BECの広がりについて、コスグローブ氏も「昨年あたりから急速にブレイクしています」と強調する。いったい、どれほどの被害が発生しているのだろう。
「FBIの調査によると、2013年10月から2016年12月までの間に生じたBECの被害は53億ドル。プルーフポイントの調査でも、2016年の第3四半期から第4四半期の間にBECは45%も増加したという結果が出ました」(コスグローブ氏)
2016年1月には、航空機部品メーカーFACC AGがBECで5570万ドルを盗まれ、同社のCEO(最高経営責任者)とCFO(最高財務責任者)が更迭されるという事件が起こっている。同じく2016年1月には、ベルギーの銀行CrelanがBECにより、7000万ドル以上の損失を受けていたことが内部監査で発覚した。
海外ほどではないものの、日本でも被害が出始めている。日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏は「国内では2014年ごろから被害が出始めています。全国銀行協会の実態調査によると約60社で被害が確認されたという報道もあります。昨年はNHKでBECが報道され、一気に関心が高まりました」と話す。
BECでよくある手口は、CEOや上司になりすまし、CFOなど多額の金額を動かせる役職者に振り込みを指示するというもの。特にCFOが標的にされるケースは多く、全体の約半数を占める。経理部門も標的になる。狙うのが金銭ではなく個人情報なら人事部門、知財なら技術部門が標的になる[1]。つまり、BECを仕掛ける者は、企業内の指揮命令系統を周到に調べたうえで、正当な業務の指示と見せかけたメールを送信し、お金や情報をだまし取っているのだ。
しかし、現役のビジネスパーソンがそう簡単にだまされるものだろうか。CFOなど高い役職に就く人物なら判断力があり、経験も豊富なはず。メールだけの指示にまんまとだまされるのは不思議だ。また、いくら権限があるとしても、大金を動かすなら社内で承認フローなどチェック体制があり、未然に防げるはずではないだろうか。そう思えてしまう。
(次ページへ続く)
注
[1]: 標的になる従業員・部門とその比率は、ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』の9ページに書かれています。
ビジネスメール詐欺対策に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『BECサバイバルガイド〜ビジネスメール詐欺の阻止と組織の保護』(無料PDF、日本プルーフポイント提供)では、BECの標的や手口、BECが成功してしまう理由をやさしく解説しています。さらに、攻撃発生前に行うべき準備・予防策から攻撃発生後の対応まで、企業や組織をBECの被害から守るための方法も紹介しています。
巻末には「ビジネスメール詐欺対策のチェックリスト」が付いており、「攻撃発生前:防止」と「攻撃発生後:回収と復旧」の両面からBECに対する自社の備えを確認できます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
