コスグローブ氏によると、実際はケースバイケースだが、BECではメール本文がとても巧みに作られているらしい。まず、メール送信元に実在する人物の名前とメールアドレスを用いて受信者を信用させる。加えて、入金や情報の送信などをメール本文でもっともらしく指示・依頼する。
BECの実物をコスグローブ氏は見せてくれた。送信者は実在するCEOの名前とメールアドレスが使われている。宛先(標的)はCFOだ。本文には添付ファイルもURLもなく、テキストしかないためエンドポイント製品でブロックされることなく受信者は開いてしまった。本文には買収案件があるため、至急15万ポンドを指定の口座に入金するようにと指示がある。企業買収は急に決まることが考えられるため、少なからず信じてしまうのかもしれない。攻撃者はそこを狙ったようだ。
なお、このメールでは途中で不正と分かったため、被害に遭うことはなかったという。
他にも、特殊な交渉など極秘裏に進む話を持ち出され、「おれを信じろ」「説明は後だ」「いいから早くやれ(さもないと大きなチャンスを逃してしまう)」などとあおられると、指示された人物は事実関係を確認することなく応じてしまうことがあるようだ。
コスグローブ氏は、中小企業やスタートアップ企業はとりわけ注意が必要だと、警笛を鳴らす。「これらの企業は買収など、急に進展する案件が起こりうるため、信じてしまいやすい。また、企業規模が小さいと1人の権限が強くてチェックが働かない場合があり、危険なのです」(コスグローブ氏)
BECの手口を探る~有効な対策は何か?
BECメールでは本文の巧みさに加えて、実在の人物になりすますことが大きな特徴だ。実在する人物の認証情報が奪われ不正に正規のアカウントにログインされてメールが送られる場合もあるが、送信元の名前やメールアドレスを偽装するものが多い。
偽装の場合にはいくつかパターンがある。送信元メールアドレス(From)は正規のものではなくても、併記する氏名(表示名)が偽装されるケースは多い。返信先アドレス(Reply-To)に不正なメールアドレスが指定されることも多い。返信しないと意味がないが、受信者が問い合わせなど返事をする場合に実在する人物にメールが送信されるのを防ぐことができる。正規のドメインに似たドメイン(類似ドメイン)が使われることもある。正規の送信元が「〜@trusted.com」なら「〜@tru5ted.com」など、一見して見分けのつかないドメインが使われる。
また、「最近になり、社内の人間だけでなく、パートナー企業にいる実在の人物を偽装に使うケースが増えてきています」とコスグローブ氏は指摘する。パートナー企業とは普段から取引があるため、ニセの請求書や支払先口座の変更であっても疑わず信じてしまう。前者は「これだけ急ぎでお願いします」と送られてきて、お金をだまし取る。後者は「支払先口座が変わりました。今後はこちらにお振り込みください」とあり、正規の支払いを横取りする。
詐欺メールの件名については、よく使われる単語があるのだという。定番は「Payment(支払い)」「Request(依頼)」「Urgent(緊急)」など。シンプルだがもっともらしい。これに実在の人物からの送信だと偽装することで信憑性を高めてしまう。よく見れば不審な点に気づきそうだが、ビジネスパーソンは日々大量のメールをさばいている。上司や取引が頻繁なパートナー企業から「買収」や「緊急」などのメールが届いたら、うっかり信じて詐欺メールの指示に従ってしまうこともあるだろう。
メールで入金や情報提供など重要な依頼があった場合、1人で判断せず、依頼してきた本人や関係者間で確認するのが鉄則ではあるが、ほかにもできることもある。例えば、メール送信者情報を確認しやすいようにする。送信者のメールアドレスをきちんと見れば不正と分かるものも多い。しかし、コスグローブ氏はスマートフォンが普及した今ならではの盲点を指摘する。
「スマートフォンのメールソフトには送信者の表示名しか表示しないものが多く、普段はメールアドレスにまで注意がいきません[2]。また、画面が小さいから、よく似た字を使ったニセのメールアドレスや表示名に気づきかないこともあります」(コスグローブ氏)
とはいえ、見た目が似ているニセのドメインを使った詐欺メールなら、フィルタリングでブロックすることも可能だろう。また、メール認証を厳格化することも1つの対抗策になる。これまで送信元(From欄)はBECでなくても、フィッシングやスパムなどで送信元ドメインの「なりすまし」はよく起きていた。DMARC[3]などの送信ドメイン認証技術を使えば、自社ドメインでなりすましが起こることを防ぐことができる。自社のドメインが不正に使われることを防ぐことができれば、自社の人間になりすますことは防げるため、BEC対策としては有効だ。
先にFBIの報告としてBEC被害額を挙げたが、最近ではより被害が増えている可能性がある。表面化していない被害もありそうだ。情報漏えいが発覚したら報告義務があるものの、金額や内容にもよるが詐欺被害は不注意の損失として泣き寝入りしてしまうケースも考えられるからだ。
BECは周到な準備が必要になるものの、ピンポイントで狙われたら詐欺と気づくのは難しいかもしれない。それでも運用やシステムである程度は防衛できる。BECの被害に遭わないためにも、必要な対策を施しておきたい。
注
[2]: PCでも、Gmailなどは表示名しか表示しない(メールアドレスを見るには操作が必要)。
[3]: DMARCの解説は、ホワイトペーパー資料『BECサバイバルガイド~ビジネスメール詐欺の阻止と組織の保護』の15ページにあります。
ビジネスメール詐欺対策に役立つホワイトペーパー資料(無料PDF)のご案内
ホワイトペーパー資料『BECサバイバルガイド〜ビジネスメール詐欺の阻止と組織の保護』(無料PDF、日本プルーフポイント提供)では、BECの標的や手口、BECが成功してしまう理由をやさしく解説しています。さらに、攻撃発生前に行うべき準備・予防策から攻撃発生後の対応まで、企業や組織をBECの被害から守るための方法も紹介しています。
巻末には「ビジネスメール詐欺対策のチェックリスト」が付いており、「攻撃発生前:防止」と「攻撃発生後:回収と復旧」の両面からBECに対する自社の備えを確認できます。入手は無料。ぜひ下記よりダウンロードして、ご一読ください。
