スキャム攻撃が次々に頻発する現在、金融取引では正しい手順と検証を徹底することの重要性がますます高まっています。

先日、ある企業のCFO宛に、「CEO」と名乗る送信者からメールが続けて送信されるスキャム攻撃が発生しました。幸いにもこのCFOは偽メールだということを見破り、返信しませんでした。次にメールを掲載しますが、スキャム攻撃者は次第に苛立ち、高圧的になっていくのがわかります。

差出人:“Bob CEO”
返信:“Bob CEO”
宛先:ray.cfo@company.com
こんにちは、Ray。
今日中に国内送金したいのですが、可能でしょうか。
Bob
iPhoneから送信
差出人:“Bob CEO”
返信:“Bob CEO”
宛先:ray.cfo@company.com
こんにちは、Ray。
22,500ドルを、以下のAAA Limo Service Incの
口座に送金してください。
銀行名:Big Name U.S. Bank
住所:2832 S. Muletta St. Amarillo, TX
口座名義人:Molly Moulari
口座名義人の住所:1313 Money Mule Drive, Muleshoe, TX
口座番号:xxxxxxxxxx
ルーティング番号:xxxxxxxxxx
送金が完了したら教えてください。
Bob
差出人:“Bob CEO”
返信:“Bob CEO”
宛先:ray.cfo@company.com
こんにちは、Ray。
今からミーティングなので、
送金の署名をする時間がありません。この支払いは
、 AAA American Luxury Car Service Inc.を所有する企業の債務として記録しておいてください。支払いが完了次第、電信送金の確認をメールで知らせてください。
Bob
iPhoneから送信
差出人:“Bob CEO”
返信:“Bob CEO”
宛先:ray.cfo@company.com
こんにちは、Ray。
電信送金の確認を待っています。
送金が完了したか確認いただけますか。
Bob
iPhoneから送信
[メールを開いたかどうかをチェックするWebバグ画像]

これはよくあるスキャムです。攻撃者はCEOとCFOの名前を知っており、「差出人」のアドレスに細工することで、あたかもCEOから送信されたメールであるかのように偽造しています。また、CFOの名前を使用し、「返信」ヘッダを使って、攻撃者が指定した偽のメールアドレスに返信されるようにしています。このスキャムでは、偽ドメインを登録せず、単に使い捨てのhotmailアドレスを使用しています。

このスキャムの特徴は、口座番号とルーティング番号は、警察による追跡が不能な偽の番号ではなく、米国の大手銀行に実際に存在しているという点です。

恐らく、口座の名義人である「Molly Moulari」は、騙されて詐欺に加担してしまったアメリカ人だと考えられます。

つまり、この詐欺攻撃にはスキャムが2つ絡んでいることになり、実に手が込んでいます。まずモリーは、知らないうちに「マネーミュール(不正資金の送金代行)」というスキャムの犠牲者になってしまいます。この詐欺には、「Work from Home Processing Payments(在宅での支払い代行)」というスキャムメールが使用されます。モリーがメールに返信すると、銀行口座を自分の名義で開設するという「仕事」を指示されます。次に攻撃者は、上記のようなメールをCFOに送信し、モリーの口座に送金させようとします。振り込みが完了したら、モリーは自分の「仕事」をします。つまり、振り込みの金額から自分のコミッションを差し引いた額を雇い主に送金します。このように攻撃者は、海外の銀行から怪しまれないようにする手段として、マネーミュールを使用します。一方のモリーは、ある日FBI捜査官がやってきて取り調べの対象になる、という事態に陥ります。

このように最近では、複数の人物が関与するスキャムが増えています。こういった攻撃を効果的に防御するには、従業員それぞれが警戒を怠ることなく、適切な手順でメールを処理する必要があります。承認のないメールだけで送金を行うことは絶対に避けるべきですし、メールの返信アドレスが会社のドメインでない場合には特に注意が必要です。

メールによる詐欺行為については、次のブログ記事でも取り上げています。

このフィッシング攻撃を見破れますか?
最新のスキャムメール - Bank of America Merrill Lynchの顧客を狙った「セキュリティメッセージ」
メール通信のセキュリティ保護は万全ですか?
フィッシング攻撃が増加しています。対策は万全ですか?
正しい手順で企業をスピアフィッシングから守るには
ロビン・ウィリアムズ氏の訃報を悪用したスパム

バラクーダネットワークスは、メールセキュリティソリューションとしてBarracuda Email Security ServiceBarracuda Spam Firewallを提供しています。

※本内容はBarracuda Product Blog 2014年9月22日Thieves recruit housewives in elaborate corporate scamを翻訳したものです。

Michael Van Pelt

本稿は、バラクーダネットワークスのWebサイトに掲載されている『バラクーダラボ』10月30日付の記事の転載です。