サイバー攻撃のトレンドは年々移り変わっています。2015年には「標的型攻撃」が注目を集め、2017年にはランサムウェア(身代金要求型のマルウェア)の「Wannacry」が世界中に甚大な被害をもたらしました。これらの手法は消えることなく、新たな脅威とともに増え続けています。
そして今、次々に脅威が日本でも拡大しています。「ビジネスメール詐欺」というサイバー攻撃をご存知でしょうか?通称BEC(Business E-mail Compromise)と呼ばれ、現在世界で最も警戒されているサイバー攻撃の一つとして対策が必要なものです。
今回はこのBECについてその概要や対策方法をご紹介します。
ビジネスメール詐欺(BEC)とは?
企業では日々大量のビジネスメールがやり取りされています。BECはそうしたビジネスメールの「隙間」に入り込んで、取引先の経営者や営業担当者等を装って金銭をだまし取るというタイプのサイバー攻撃です。
それでは、ビジネスメール詐欺(BEC)と標的型攻撃とは何が違うのでしょうか?
ここであらためて標的型攻撃に関しておさらいしておきましょう。標的型攻撃は不特定多数の人に向けて、マルウェアに感染した電子メールを送信するような無差別攻撃ではなく、特定のターゲットを決めた上でマルウェアに感染した電子メールを送信し、添付されたファイルを巧みに実行させるというサイバー攻撃です。高度な標的型攻撃ではターゲットの身辺調査や業界特有の商習慣等を十分に理解した上で電子メールを送信するため、人々は信用しきってしまい騙されるため、防御が非常に難しいサイバー攻撃としても知られています。
標的型攻撃の目的は「情報の搾取」です。例えばターゲットが電子メールに添付されたファイルを実行してしまうと端末がマルウェアに感染し、ネットワークに侵入され、企業の機密情報や顧客の個人情報等が盗まれてしまいます。2015年には標的型攻撃によって、政府機関で125万人以上の個人情報が流出しています。
BECが標的型攻撃と違う点はまず、ターゲットと実際の取引先がやり取りしている電子メールに介入するということです。攻撃者はあらゆる手を尽くしてターゲットと取引先の電子メールを傍受し、ここだというタイミングを伺います。そのタイミングが訪れたら取引先に成りすまして電子メールを送信し、攻撃者が持つ口座に送金させようとします。そのため一見して第三者からの不正な電子メールだと気づくことは困難です。
もう1つの違いは直接的な金銭搾取を目的にしていることです。多くの場合、標的型攻撃の目標は情報搾取ですが、BECは不正送金を促します。個人情報流出による被害はありませんが、莫大な不正送金額になることもあるため甚大な被害をもたらします。
増え続けるBECによる被害
では、BECによって世界ではどれくらいの被害が発生しているのでしょうか?2018年7月12日にFBI(米連邦捜査局)が発表した最新の報告書※によると、BECの被害が世界的に拡大していることがわかります。
2016年6月にBECに関する初のレポートを公表し、それによると2013年10月~2016年5月にかけて1万5,668件の被害件数と10億5,384万ドルの損失額が判明しています。FBIがその後さらに収集した情報や金融機関等からの届け出を加味した最新のレポートによると、2018年5月までの累計では被害件数が7万8,617件の、損失額は1257億3,674万8,299ドルにまで拡大しています。世界的に見てここ2年でBECによる被害が爆発的に増えているのです。
一方、日本国内の被害状況はどうでしょうか?
実は2017年12月に大手航空会社にてBECによる被害が発生しています。被害額は3億8,000万円。いわゆる架空請求に対応したことで甚大な被害が発生しました。
被害内容としては、旅客機のリース料について支払先である海外の金融会社の担当者になりすまし、偽の請求書を送付したというものです。そこには「料金の振込先口座が香港の銀行に変更された」等の記述があり、担当者は約3億6,000万円を指示通りの口座に振り込みました。そして、数日後には全額が引き出されていて回収不能となりました。
さらに同社は2017年8月に、貨物の業務委託料について貨物事業所に支払口座の変更を伝えるメールが届いています。担当者は変更された香港の銀行口座に、2回にわたって合計約2,400万円を振り込んでいます。
[RELATED_POSTS]日本語によるBECも発生
IPA(情報処理推進機構)の「J-CSIP(サイバー情報共有イニシアティブ J-CSIP:Initiative for Cyber Security Information sharing Partnership of Japan)」によると今年7月には日本語での電子メールが確認されており、差出人としてその企業代表の名前やメールアドレスを使用したBECが発生しています。
日本語によるBECが発生したことで海外企業との取引が無い企業も安心はできません。そのためBECは今後すべての企業が注意すべきサイバー攻撃と言えるでしょう。
BECに対処するためには?
電子メールのやり取りに介入したり、時には電話による巧妙な手口も発生しているBECは高度なサイバー攻撃であり、通常の対策では防ぐことができず、非常に危険です。これに対処するためにはどんな施策が必要なのでしょうか?
口座変更メールは二重チェック
BECの最大の特徴は「送金口座を○○銀行に変更しました」といったような、口座変更を伴うことです。つまりこの点に注意を払っていれば大半のBECはブロックできることになります。昨年発生した大手航空会社の被害事例でも口座変更が伴っていますし、その他未遂に終わったBECでもやはり口座変更に旨が連絡されています。
そのため取引先から「送金口座を変更しました」等の連絡が来たら、まずはBECを疑って二重チェックを行いましょう。
電子署名の付与
BECの手口も多様化しており、中には見極めが困難なケースもあります。たとえば取引先社員のアカウントが不正利用されており、電子メールではなく取引先と共通で使用しているチャットスペースにてBECが実行される等です。こうしたケースでは相手が取引先担当者だと信じ込んでいるので、疑うことなく請求に対応してしまうことで被害が発生します。
こうした手口に対処するためには請求書等に電子署名を付与して、請求書が本物だということを証明するなどの対処が有効的です。
情報共有を徹底する
BECの被害に遭いやすいのは中小企業ではなく大企業です。その理由はセキュリティに関する企業ポリシーを組織の隅々まで浸透することが難しく、10,000人の従業員が高いセキュリティ意識を持っていてもたった1人のセキュリティ意識が低い従業員が発端で被害に遭う可能性が高いためです。
そのため社内での情報共有を徹底することはBECだけでなく、すべてのサイバー攻撃に対して有効です。不審な電子メールが届けば実際の文面を社内全体で共有して、常にセキュリティ意識を高めることが大切です。
マルウェア対策と不正アクセス対策
大体のBECはマルウェア感染や不正アクセスによる電子メールの傍受等で土台を作り、ここぞというタイミングで攻撃を仕掛けます。つまりマルウェア感染と不正アクセスへ適切な対処ができてれば、これもまたBECの大きな対策になるでしょう。各クライアントパソコンにマルウェア対策ソフトをインストールすることはもちろん、UTM製品等で高度な不正アクセス対策を講じてBECをシステム面でもブロックすることが大切です。
Fortigateでは、膨大なFortiGuardラボDBを背景に、アンチスパム機能でIPアドレスのチェックやURLチェック、メール内のフィッシングURLの検知、Emailチェックサムのチェック、スパム報告の参照など厳格にチェック。さらにFortiMailでは、経営層をターゲットとした詐欺を検知。CxOからのメールを装うCxOを狙う攻撃 Whaling attacks(ホエイリングアタック)対策も万全です。通常の表示名、ヘッダーアドレスの一致を識別し、入ってくるメールでの偽装(異なる表示名など)を検知します。メールを受け取るユーザーにサブジェクトにタグ付け、もしくは本文に警告を入れることなども可能です。
BECの脅威に注目
BECは今、世界的に見ても被害が拡大しているサイバー攻撃です。日本国内での被害事例こそまだ少ないものの、それは日本語という世界的に見て特殊な言語を使用しているからに過ぎません。しかし、日本語によるBECが発生し始めたことを鑑みると、今後は日本国内でも爆発的に被害が拡大することが容易に予測できます。
各企業はBECに対する危機感を高めて、有効的な対策を取ることで被害を確実に防止していきましょう。
※BUSINESS E-MAIL COMPROMISE THE 12 BILLION DOLLAR SCAM (https://www.ic3.gov/media/2018/180712.aspx)
ネットワークバリューコンポーネンツではBECに有効な手段とされるFortinet社のFortimailを提供しています。メールセキュリティ製品 FortiMailは、グローバルIPレピュテーションおよびURL/メールドメインベースチェック、ローカルな送信者レピュテーション、統計的解析など最新のフィルタリング技術を採用しています。これらの技術を複合的に使って、高い精度でスパムメールを抽出します。もしご興味がございましたら弊社までお問い合わせいただければ幸いです。
この記事に関するサービスのご紹介
