Shoeisha Technology Media

EnterpriseZine(エンタープライズジン)

EnterpriseZine(エンタープライズジン)

テーマ別に探す

その“入金指示”は本当にあなたの上司からですか?――ビジネスメール詐欺のだます手口・だまされる理由

2017/11/08 06:00

 昨年から「メール」を使用したサイバー攻撃が急増しているという。メールを使った攻撃は以前からあるが、それらとは大きく異なる。侵入する・乗っ取るなどコンピュータに対する攻撃は何もない。攻撃対象はメールを読む「人間」だ。企業の従業員をだましてお金や情報をせしめる。なぜ今、そのような攻撃が増加しているのか。また、なぜ人間はだまされてしまうのか。プルーフポイント 欧州・中東・アフリカ(EMEA)担当セイバーセキュリティストラテジストのアデニケ・コスグローブ氏と、日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏にその理由などを聞いた。

人間をだますメールが急増中~CEOやCFOが解雇される事態も

 パターンファイルで、既知の不正プログラムや不正なサイトを検出してきたアンチウィルスソフト。最近では、サンドボックス(仮想環境)で挙動を確認する機能なども追加され、不正なプログラムや不正なリンクを、人間がメールを開く前にブロックしてくれるようになってきた。こうした防御機能を越えて攻撃するためには、新しい技術を常に開発しなければならない。攻撃者からすれば、ハードルはどんどん高くなっているのだ。

 こうした現状を反映しているのだろう、近年は、コンピュータではなく人間の脆弱性に目を向ける攻撃者が増えている。ビジネスメール詐欺(Business Email Compromise、以下BEC)の急増は、その証左といえよう。

 BECは業務メールで相手をだまし、お金などを振り込ませるもので、いわば「振り込め詐欺(オレオレ詐欺)」のビジネス版だ。振り込め詐欺は電話を通じて高齢者を狙うが、BECはメールを通じてビジネスパーソンをピンポイントに狙う。

 攻撃者にとってBECが魅力的なのは、人間のほうが脆弱だからというだけではない。人間への攻撃は、うまく狙いを定めれば大きな成果が得られる可能性があるからだ。そのやり口は、映画やフィクションを見るように人間の盲点をつく。コンピュータウィルスからマルウェアなど、ユーザーに届く不正なメールをブロックする技術も、日々高度化している。

 BECの広がりについて、コスグローブ氏も「昨年あたりから急速にブレイクしています」と強調する。いったい、どれほどの被害が発生しているのだろう。

 「FBIの調査によると、2013年10月から2016年12月までの間に生じたBECの被害は53億ドル。プルーフポイントの調査でも、2016年の第3四半期から第4四半期の間にBECは45%も増加したという結果が出ました」(コスグローブ氏)

アデニケ・コスグローブ(Adenike Cosgrove)氏
アデニケ・コスグローブ(Adenike Cosgrove)氏
プルーフポイント EMEA担当サイバーセキュリティストラテジスト。欧州市場全体で製品マーケティングや戦略的イニシアチブを推進し、データのプライバシーやコンプライアンスなどの地域の課題に関する専門知識を提供している。プルーフポイント入社前は、リターンパス(2016年8月にプルーフポイントが買収)でEメール詐欺防止のグローバル製品マーケティング担当者を務めていた。
主要な情報セキュリティ会議にSME(内容領域専門家)として参加し、DMARC.orgワーキンググループの副議長に選出。世界最大の電子メールサービスプロバイダーと協力して、不正な電子メールに対応する手段を開発した。
また、かつてフォレスターリサーチとカナリス(共に調査会社)で情報セキュリティとリスク分野におけるEMEA顧問を務めていたときには、CISOの課題を深く理解し、顧客の情報およびサイバーセキュリティ戦略を支援した。
UCL(University College London)の研究修士号を持つ。

 2016年1月には、航空機部品メーカーFACC AGがBECで5570万ドルを盗まれ、同社のCEO(最高経営責任者)とCFO(最高財務責任者)が更迭されるという事件が起こっている。同じく2016年1月には、ベルギーの銀行CrelanがBECにより、7000万ドル以上の損失を受けていたことが内部監査で発覚した。

 海外ほどではないものの、日本でも被害が出始めている。日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏は「国内では2014年ごろから被害が出始めています。全国銀行協会の実態調査によると約60社で被害が確認されたという報道もあります。昨年はNHKでBECが報道され、一気に関心が高まりました」と話す。

高橋哲也(たかはしてつや)氏
高橋 哲也(たかはし てつや)氏
日本プルーフポイント株式会社 セールスエンジニアリング部 部長。専門はネットワークおよびセキュリティ。セキュリティエンジニアとして深い知識を活かし、国外パッケージ製品中心とした国内販売の企画・立案、コンサルテーション、テクニカルマーケティング、およびパートナービジネスにおける技術認証制度の確立など、幅広い業務経験を持つ。2005年、セールスエンジニアリング・マネージャーとして日本プルーフポイント株式会社設立に参加。以来、国内マーケットにおけるProofpointビジネスの拡大に貢献。

 BECでよくある手口は、CEOや上司になりすまし、CFOなど多額の金額を動かせる役職者に振り込みを指示するというもの。特にCFOが標的にされるケースは多く、全体の約半数を占める。経理部門も標的になる。狙うのが金銭ではなく個人情報なら人事部門、知財なら技術部門が標的になる[1]。つまり、BECを仕掛ける者は、企業内の指揮命令系統を周到に調べたうえで、正当な業務の指示と見せかけたメールを送信し、お金や情報をだまし取っているのだ。

 しかし、現役のビジネスパーソンがそう簡単にだまされるものだろうか。CFOなど高い役職に就く人物なら判断力があり、経験も豊富なはず。メールだけの指示にまんまとだまされるのは不思議だ。また、いくら権限があるとしても、大金を動かすなら社内で承認フローなどチェック体制があり、未然に防げるはずではないだろうか。そう思えてしまう。

(次ページへ続く)

[1]: 標的になる従業員・部門とその比率は、ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』の9ページに書かれています。

ビジネスメール詐欺対策に役立つホワイトペーパー資料(無料PDF)のご案内

 ホワイトペーパー資料『BECサバイバルガイド〜ビジネスメール詐欺の阻止と組織の保護』(無料PDF、日本プルーフポイント提供)では、BECの標的や手口、BECが成功してしまう理由をやさしく解説しています。さらに、攻撃発生前に行うべき準備・予防策から攻撃発生後の対応まで、企業や組織をBECの被害から守るための方法も紹介しています。

 巻末には「ビジネスメール詐欺対策のチェックリスト」が付いており、「攻撃発生前:防止」と「攻撃発生後:回収と復旧」の両面からBECに対する自社の備えを確認できます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。

ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』のダウンロード


著者プロフィール

  • 加山 恵美(カヤマ エミ)

    EnterpriseZine/Security Online キュレーター フリーランスライター。茨城大学理学部卒。金融機関のシステム子会社でシステムエンジニアを経験した後にIT系のライターとして独立。エンジニア視点で記事を提供していきたい。EnterpriseZine/DB Online&nbs...

  • Security Online編集部(セキュリティ オンライン ヘンシュウブ)

    Security Online編集部 翔泳社 EnterpriseZine(EZ)が提供する企業セキュリティ専門メディア「Security Online」編集部です。ビッグデータ時代を支える企業セキュリティとプライバシー分野の最新動向を取材しています。皆様からのセキュリティ情報をお待ちしております...

バックナンバー

連載:プルーフポイント 最新情報セキュリティ インタビュー
All contents copyright © 2007-2018 Shoeisha Co., Ltd. All rights reserved. ver.1.5