トレンドマイクロは1月27日、企業から金銭をだまし取るための偽の送金指示メール「Business E-mail Compromise(BEC)」が増加していると、セキュリティブログで明かした。

BECは、ソーシャルエンジニアリングを駆使し、企業の従業員に送金を指示する内容を書いたメールを送り、受け取った従業員をだまして送金させる手法。世界各地で急増し、2013年10月から2015年8月の間だけでも79カ国で8179社が狙われた経験がある。

送金した企業は、2015年2月までで合計2126社、被害総額はおよそ2億1500万ドル(2016年1月27日時点で約200億5400万円)。同年8月には、被害を受けた企業は8170社まで膨れ上がり、被害総額は8億ドル(約944億円)まで増加している。

BECの主な手口には、「偽の請求書」「取引先からの Eメール」「CEO や会社幹部からのEメール」がある。ブログでは、米国の製造業の企業で実際にあった手口を紹介している。この企業の経理担当者は、自社の最高経営責任者(CEO)からメールが届き、本文には他の従業員と情報を共有しないようになどと記載されていた。

サイバー犯罪者は、さまざまな方法で標的となる企業の従業員のメールアドレスを入手している。例えば、ソーシャルメディアや企業のWebサイト上の従業員情報から入手している。そのほか、アドレスのドメインがわかっていれば、あとは「info@~」「admin@~」「sales@~」と付けることで推測するケースもある。

ブログでは、BECによる被害の事例を紹介している。2014年にとあるサイバー犯罪者が、市販の検索ツール「Email Spider」を用いて企業のWebサイト上にあるアドレスを収集した。その後、特定のキーワードを利用して攻撃対象となり得るアドレスを検索し、ソーシャルエンジニアリングの手法を駆使して、ビジネス取引を装ったメールに重要書類を添付して送信した。

添付ファイルはキー入力操作情報を収集する不正プログラム(キーロガー)を含んでいる。受信者が添付ファイルを開けば、キーロガーがシステム内に侵入し、システム情報やキー入力操作情報、パスワードやユーザ名といったブラウザに保存された情報を盗める。

「Predator Pain」および「Limitless」を利用するサイバー犯罪者が送信した電子メールの例

また、サイバー犯罪者が時間をかけて標的となる人物に近付き、キーロガーに感染させるケースもある。サイバー犯罪者は、標的の人物とメールで何度かやり取りし、頃合いを見計らってキーロガー「HawkEye」を添付したメールを送信して感染させている。長い時間をかけて攻撃対象者をだます手法は、企業のネットワークの中枢に侵入し、重要な情報を窃取するための手段だと見られている。

「HawkEye」のサイバー犯罪者が送信したメール。不正プログラム送信前に信頼関係を構築

BECからの被害を防ぐには、送金の際に2段階の認証プロセスを追加することが有効だとしている。また、セキュリティ企業や政府機関から報告される新たな脅威に関する情報は、従業員に常に周知するように徹底することを推奨している。さらに、受信したメールはすべて慎重に確認する、請求書の支払いをする前に別の通信手段で相手先に確認する、スパムメールは直ちに削除するなどの電子メールの正しい使用法を実践する。

FBIでは、「返信」の代わりに「転送」を選択し、連絡先のメールアドレスを手入力して、正しいメールアドレスであることを確認することを推奨している。