莫大な被害を生むビジネスメール詐欺(BEC)
取引先や自社の経営層などになりすまして送金指示のメールを送り、金銭を詐取する手法を「ビジネスメール詐欺:Business Email Compromise(BEC)」と呼びます。ビジネスにおけるコミュニケーションの主流が、電話からメールに変わったことを悪用した手法といえます。
海外では数年前からBECの被害が増大しており、FBI の Internet Crime Complaint Center (IC3) が発表した年次報告書「インターネット犯罪レポート」によると、米国でサイバー攻撃などの犯罪が2021年は前例のないほど増加したと報告しています。報告されたインシデントの上位にはBECとメールアカウント侵害 (EAC)
が含まれ、企業と消費者の昨年の調整済み損失は 24億ドルにも及んでいます。さらにBECによる被害はランサムウェアの49倍にも達しているという報告もあります。
(参照先)https://www.proofpoint.com/jp/blog/email-and-cloud-threats/fbis-ic3-report-financial-losses-due-email-fraud-hit-record-high-2021
BECの手法は、取引先などになりすまして偽の請求書を送るものと、社内の経営層などの内部になりすまして送金指示メールを送るものの大きく2つに分けることができます。IPA(独立行政法人情報処理推進機構)ではこれをさらに細分化し、「取引先との請求書の偽装」「経営者等へのなりすまし」「窃取メールアカウントの悪用」「社外の権威ある第三者へのなりすまし」「詐欺の準備行為と思われる情報の詐取」の5つのタイプに分類しています。日本でも徐々に被害が増えており、2018年には日本の大手航空会社がBECによって約3億8,000万円騙し取られる事件も発生しています。
IPAのほかにも、警察庁や警視庁、一般社団法人 全国銀行協会などが注意喚起を行っていますが、かなりの数の組織がBECメールを受け取っている可能性があり、攻撃に気づいていないケースも多いと思われます。ただし最近では、BECにより多額の被害を受けた事例がニュースなどで広く取り上げられたこともあり、後で「実は被害を受けていた」と気づくことも増えているようです。
社内のやりとりをモニターし、最適なタイミングでメールを送信
BECは、なりすましというシンプルな手口ながら、周到に計算された攻撃です。BECを行うサイバー攻撃者は、まず標的となる企業について情報収集を行います。ドメインや名刺などからその企業が使っているメールアドレスは容易にわかるので、そこから経営層や経理担当のメールを類推し、判明したら今度はパスワードを入手します。辞書攻撃などでパスワードを割り出すこともできますし、フィッシングメールやキーロガーを活用することもあります。
メールシステムに侵入できたら、そこでやり取りされるメールから取引先やその担当者、送金される名目などの情報を集めていきます。定期的な送金を行っている取引先を見つけると、タイミングを見計らって取引先になりすまし、「振込先の口座を変更した」などといった内容のメールを送るのです。また、メールのやり取りから企業の買収の話が進んでいることがわかれば、経営層になりすまして、買収がまとまりそうなタイミングなどに、送金先を指示する内容のメールを送ります。
サイバー犯罪者がBECのメールを送る際には、メールにさまざまな細工を施します。文体はなるべく本物に似せて書きますし、メールの署名も本物と瓜二つのものを作成します。送信者や返信先のメールアドレスなどといったヘッダー情報も一目ではわからないように偽装します。さらに、サイバー攻撃者が標的となる人物のPCを乗っ取り、そのPCをリモートコントロールしてメールを送ることもあります。これは本人からのメールということになるので、受け取った側が気づくことはかなり困難といえます。
BEC対策には、システムとアナログの併用が効果的
BECはマルウェアの類を一切使用せず、ソーシャルエンジニアリングの手法のみで莫大な金銭や重要な情報を得ることができるため、その数は増える一方です。そのため、前述のように入念な準備を行うものだけでなく、公開情報を元にした安直なBECも見受けられるようになりました。このように安直なBECであれば、本文やメールのヘッダーなどをチェックすることで、容易に見破ることができるでしょう。また、入念に準備されたBECであっても、システムと人の両面から対策を行うことで、BECに気づく可能性が高くなります。
具体的には、送金や重要な情報を送信する際の社内ポリシーを策定することから始めます。例えば、一定額を超える送金処理を行う場合には、複数の役職で稟議を通すようにする、振込先の変更があった場合には、送金先に電話をするなどして本人確認を必ず行う、メールだけでなく書面も必要とする、といったところです。もちろん、従業員にセキュリティ教育を実施することも重要になります。
システム面での対策としては、メールに送信者ドメイン認証(DKIM、SPF、DMARC)を導入することで、不正なメールサーバによるドメイン詐称メールを検知することができます。また、登録された口座以外への振込を禁止するなど、システム上で制約を設けることも効果的です。こうした対策には、例えばNTT Comが提供する「WideAngle マネージドセキュリティサービス」の「コンテンツセキュリティ」や「コンサルティング」などが活用できます。なお、ソーシャルエンジニアリングの手法を使った攻撃はBECだけではありません。いわゆる「ばらまき型」のスパムやフィッシング詐欺などでも使われる手法なので、これらについても併せて対応が必要です。