人間をだますメールが急増中~CEOやCFOが解雇される事態も
パターンファイルで、既知の不正プログラムや不正なサイトを検出してきたアンチウィルスソフト。最近では、サンドボックス(仮想環境)で挙動を確認する機能なども追加され、不正なプログラムや不正なリンクを、人間がメールを開く前にブロックしてくれるようになってきた。こうした防御機能を越えて攻撃するためには、新しい技術を常に開発しなければならない。攻撃者からすれば、ハードルはどんどん高くなっているのだ。
こうした現状を反映しているのだろう、近年は、コンピュータではなく人間の脆弱性に目を向ける攻撃者が増えている。ビジネスメール詐欺(Business Email Compromise、以下BEC)の急増は、その証左といえよう。
BECは業務メールで相手をだまし、お金などを振り込ませるもので、いわば「振り込め詐欺(オレオレ詐欺)」のビジネス版だ。振り込め詐欺は電話を通じて高齢者を狙うが、BECはメールを通じてビジネスパーソンをピンポイントに狙う。
攻撃者にとってBECが魅力的なのは、人間のほうが脆弱だからというだけではない。人間への攻撃は、うまく狙いを定めれば大きな成果が得られる可能性があるからだ。そのやり口は、映画やフィクションを見るように人間の盲点をつく。コンピュータウィルスからマルウェアなど、ユーザーに届く不正なメールをブロックする技術も、日々高度化している。
BECの広がりについて、コスグローブ氏も「昨年あたりから急速にブレイクしています」と強調する。いったい、どれほどの被害が発生しているのだろう。
「FBIの調査によると、2013年10月から2016年12月までの間に生じたBECの被害は53億ドル。プルーフポイントの調査でも、2016年の第3四半期から第4四半期の間にBECは45%も増加したという結果が出ました」(コスグローブ氏)
2016年1月には、航空機部品メーカーFACC AGがBECで5570万ドルを盗まれ、同社のCEO(最高経営責任者)とCFO(最高財務責任者)が更迭されるという事件が起こっている。同じく2016年1月には、ベルギーの銀行CrelanがBECにより、7000万ドル以上の損失を受けていたことが内部監査で発覚した。
海外ほどではないものの、日本でも被害が出始めている。日本プルーフポイント セールスエンジニアリング部 部長 高橋哲也氏は「国内では2014年ごろから被害が出始めています。全国銀行協会の実態調査によると約60社で被害が確認されたという報道もあります。昨年はNHKでBECが報道され、一気に関心が高まりました」と話す。
BECでよくある手口は、CEOや上司になりすまし、CFOなど多額の金額を動かせる役職者に振り込みを指示するというもの。特にCFOが標的にされるケースは多く、全体の約半数を占める。経理部門も標的になる。狙うのが金銭ではなく個人情報なら人事部門、知財なら技術部門が標的になる[1]。つまり、BECを仕掛ける者は、企業内の指揮命令系統を周到に調べたうえで、正当な業務の指示と見せかけたメールを送信し、お金や情報をだまし取っているのだ。
しかし、現役のビジネスパーソンがそう簡単にだまされるものだろうか。CFOなど高い役職に就く人物なら判断力があり、経験も豊富なはず。メールだけの指示にまんまとだまされるのは不思議だ。また、いくら権限があるとしても、大金を動かすなら社内で承認フローなどチェック体制があり、未然に防げるはずではないだろうか。そう思えてしまう。
(次ページへ続く)
注
[1]: 標的になる従業員・部門とその比率は、ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』の9ページに書かれています。
ビジネスメール詐欺対策に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『BECサバイバルガイド〜ビジネスメール詐欺の阻止と組織の保護』(無料PDF、日本プルーフポイント提供)では、BECの標的や手口、BECが成功してしまう理由をやさしく解説しています。さらに、攻撃発生前に行うべき準備・予防策から攻撃発生後の対応まで、企業や組織をBECの被害から守るための方法も紹介しています。
巻末には「ビジネスメール詐欺対策のチェックリスト」が付いており、「攻撃発生前:防止」と「攻撃発生後:回収と復旧」の両面からBECに対する自社の備えを確認できます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
コスグローブ氏によると、実際はケースバイケースだが、BECではメール本文がとても巧みに作られているらしい。まず、メール送信元に実在する人物の名前とメールアドレスを用いて受信者を信用させる。加えて、入金や情報の送信などをメール本文でもっともらしく指示・依頼する。
BECの実物をコスグローブ氏は見せてくれた。送信者は実在するCEOの名前とメールアドレスが使われている。宛先(標的)はCFOだ。本文には添付ファイルもURLもなく、テキストしかないためエンドポイント製品でブロックされることなく受信者は開いてしまった。本文には買収案件があるため、至急15万ポンドを指定の口座に入金するようにと指示がある。企業買収は急に決まることが考えられるため、少なからず信じてしまうのかもしれない。攻撃者はそこを狙ったようだ。
なお、このメールでは途中で不正と分かったため、被害に遭うことはなかったという。
他にも、特殊な交渉など極秘裏に進む話を持ち出され、「おれを信じろ」「説明は後だ」「いいから早くやれ(さもないと大きなチャンスを逃してしまう)」などとあおられると、指示された人物は事実関係を確認することなく応じてしまうことがあるようだ。
コスグローブ氏は、中小企業やスタートアップ企業はとりわけ注意が必要だと、警笛を鳴らす。「これらの企業は買収など、急に進展する案件が起こりうるため、信じてしまいやすい。また、企業規模が小さいと1人の権限が強くてチェックが働かない場合があり、危険なのです」(コスグローブ氏)
BECの手口を探る~有効な対策は何か?
BECメールでは本文の巧みさに加えて、実在の人物になりすますことが大きな特徴だ。実在する人物の認証情報が奪われ不正に正規のアカウントにログインされてメールが送られる場合もあるが、送信元の名前やメールアドレスを偽装するものが多い。
偽装の場合にはいくつかパターンがある。送信元メールアドレス(From)は正規のものではなくても、併記する氏名(表示名)が偽装されるケースは多い。返信先アドレス(Reply-To)に不正なメールアドレスが指定されることも多い。返信しないと意味がないが、受信者が問い合わせなど返事をする場合に実在する人物にメールが送信されるのを防ぐことができる。正規のドメインに似たドメイン(類似ドメイン)が使われることもある。正規の送信元が「〜@trusted.com」なら「〜@tru5ted.com」など、一見して見分けのつかないドメインが使われる。
また、「最近になり、社内の人間だけでなく、パートナー企業にいる実在の人物を偽装に使うケースが増えてきています」とコスグローブ氏は指摘する。パートナー企業とは普段から取引があるため、ニセの請求書や支払先口座の変更であっても疑わず信じてしまう。前者は「これだけ急ぎでお願いします」と送られてきて、お金をだまし取る。後者は「支払先口座が変わりました。今後はこちらにお振り込みください」とあり、正規の支払いを横取りする。
詐欺メールの件名については、よく使われる単語があるのだという。定番は「Payment(支払い)」「Request(依頼)」「Urgent(緊急)」など。シンプルだがもっともらしい。これに実在の人物からの送信だと偽装することで信憑性を高めてしまう。よく見れば不審な点に気づきそうだが、ビジネスパーソンは日々大量のメールをさばいている。上司や取引が頻繁なパートナー企業から「買収」や「緊急」などのメールが届いたら、うっかり信じて詐欺メールの指示に従ってしまうこともあるだろう。
メールで入金や情報提供など重要な依頼があった場合、1人で判断せず、依頼してきた本人や関係者間で確認するのが鉄則ではあるが、ほかにもできることもある。例えば、メール送信者情報を確認しやすいようにする。送信者のメールアドレスをきちんと見れば不正と分かるものも多い。しかし、コスグローブ氏はスマートフォンが普及した今ならではの盲点を指摘する。
「スマートフォンのメールソフトには送信者の表示名しか表示しないものが多く、普段はメールアドレスにまで注意がいきません[2]。また、画面が小さいから、よく似た字を使ったニセのメールアドレスや表示名に気づきかないこともあります」(コスグローブ氏)
とはいえ、見た目が似ているニセのドメインを使った詐欺メールなら、フィルタリングでブロックすることも可能だろう。また、メール認証を厳格化することも1つの対抗策になる。これまで送信元(From欄)はBECでなくても、フィッシングやスパムなどで送信元ドメインの「なりすまし」はよく起きていた。DMARC[3]などの送信ドメイン認証技術を使えば、自社ドメインでなりすましが起こることを防ぐことができる。自社のドメインが不正に使われることを防ぐことができれば、自社の人間になりすますことは防げるため、BEC対策としては有効だ。
先にFBIの報告としてBEC被害額を挙げたが、最近ではより被害が増えている可能性がある。表面化していない被害もありそうだ。情報漏えいが発覚したら報告義務があるものの、金額や内容にもよるが詐欺被害は不注意の損失として泣き寝入りしてしまうケースも考えられるからだ。
BECは周到な準備が必要になるものの、ピンポイントで狙われたら詐欺と気づくのは難しいかもしれない。それでも運用やシステムである程度は防衛できる。BECの被害に遭わないためにも、必要な対策を施しておきたい。
注
[2]: PCでも、Gmailなどは表示名しか表示しない(メールアドレスを見るには操作が必要)。
[3]: DMARCの解説は、ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』の15ページにあります。
ビジネスメール詐欺対策に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『BECサバイバルガイド〜ビジネスメール詐欺の阻止と組織の保護』(無料PDF、日本プルーフポイント提供)では、BECの標的や手口、BECが成功してしまう理由をやさしく解説しています。さらに、攻撃発生前に行うべき準備・予防策から攻撃発生後の対応まで、企業や組織をBECの被害から守るための方法も紹介しています。
巻末には「ビジネスメール詐欺対策のチェックリスト」が付いており、「攻撃発生前:防止」と「攻撃発生後:回収と復旧」の両面からBECに対する自社の備えを確認できます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
