トレンドマイクロは、2017年の国内外における脅威動向を予測したレポート「2017年セキュリティ脅威予測」を12月12日に公開した。

図1 2017年セキュリティ脅威予測

レポートでは、以下の8つの予測をしている。

1 ランサムウェアの増加が高止まりとなり、攻撃の手口や標的が多様化
2 DDoS攻撃でIoTデバイスが悪用され、IIoTシステムは標的型攻撃に狙われる
3 手口のシンプルさによって、2017年もBEC事例は増加を続ける
4 「ビジネスプロセス詐欺」が勢いを増し、サイバー犯罪者の標的は金融機関以外へ拡大
5 Adobe製品やApple製品で見つかる脆弱性の数はマイクロソフト製品の数を上回る
6 定着化するサイバープロパガンダ
7 GDPR施行と順守に伴い、企業の負担が増加
8 最新セキュリティ技術を回避する攻撃手法の出現

企業に関わる予測のいくつかを取り上げたい。

2017年もビジネスメール詐欺被害は続く

ビジネスメール詐欺(Business Email Compromise、BEC)であるが、まず、その手口を紹介しよう。FBIによれば、ビジネスメール詐欺は、海外取引先と電信送金を介して支払いする企業を標的にした巧妙なEメール詐欺と定義する。具体的には、最初に企業の幹部のメールアカウントを乗っ取る。この乗っ取られたメールアカウントを使い、その会社の従業員に対し、支払いなどの偽の指示を出す。支払先に指定されるのは、攻撃者の口座であり、そこを経由して金銭を窃取する。

なりすますのはCEOといった会社幹部だけでなく、弁護士などもある。また、会社幹部ではない従業員であっても、偽の請求書を悪用したり、取引先に架空の請求書などを送付することで、金銭を奪うこともある。また、金銭以外にも、秘匿情報や個人情報が狙われることがある。

ビジネスメール詐欺が成立すると、その被害額は1件あたり約14万米ドル(約1,593万円)と非常に高額になる(FBIの調査による)。被害総額はこの2年で、30億米ドル(約3,414億円)に達している。参考までに、企業を狙ったランサムウェアの場合、その身代金額は、約1万7,000米ドル(約193万円)から約3万米ドル(約341万円)であった。いかに被害が高額か、わかるだろう。

ビジネスメール詐欺が、猛威を振るう背景であるが、攻撃方法がシンプルな点にある。メールに不正プログラムや攻撃者のWebサイトへのリンクなどもない。また、不正なトラフィックや不正なファイルの挙動といったことも発生しない。つまり、従来のセキュリティ対策ソフトでは、チェックできない。また、内容も指定口座への送金を指示するものであるので、本来の業務メールと区別することも困難である。

メールアカウントを奪取することができれば、いかにも正しそうな業務内容を含むメールを作成する調査のみを行うことで、攻撃者はビジネスメール詐欺を実行できる。この容易さから、2017年もビジネスメール詐欺が増加すると予測する。

新たな攻撃が登場-ビジネスプロセス詐欺

バングラデシュ中央銀行で送金プロセスがハッキングされ、約8,100万米ドル(約92億円)の被害が発生した。トレンドマイクロでは、この攻撃をビジネスプロセス詐欺(Business Process Compromise、BPC)と呼ぶ。この事件では、バングラデシュ中央銀行の送金プロセスが綿密に分析され、攻撃が行われた。上述のビジネスメール詐欺とその違いを図示したのが、図2である。

図2 ビジネスメール詐欺とビジネスプロセス詐欺の攻撃プロセスの比較

いずれの攻撃も正規の業務手続きに見せかけて、金品を窃取する点は同じである。しかし、ビジネスメール詐欺では人的なミスを悪用する。一方、ビジネスプロセス詐欺では、業務プロセスが狙われる。現状、企業などのセキュリティ対策では、デバイスのハッキング阻止がメインである。業務プロセスへのハッキングは、あまり考慮されていない。その隙間を攻撃者が狙っているといえる。

さらに、被害額もビジネスメール詐欺以上に高額になり、サイバー犯罪者だけでなく、ならずもの国家などの資金調達に使われる可能性があると指摘する。

企業の負担増をまねく一般データ保護規則の施行

サイバー犯罪ではないが、企業活動に影響がある事例を紹介したい。EUでは、域内の国民の個人情報の取得、処理、保管をする世界中の関連組織や企業に、一般データ保護規則(General Data Protection Regulation、GDPR)を2018年から施行する。施行後、一般データ保護規則に違反すると、全世界での売上の4%を罰金として科せられる。

企業に求められる変更は、以下となる。

・データ保護責任者(Data Protection Officer、DPO)の設置が必要
・ユーザーの新規権限の周知と権限行使は企業側の努力で確保されるべき
・サービスを利用するために求められる個人情報は最小限にとどめるべき

新たな人的コストの発生、個人情報を扱う業務の根本的な変更、企業側の情報収集業務の変更といった負担が加わる。さらに多国籍企業では、EUとそれ以外での国での情報管理の区別や多重化が必要になることも予想される。個人情報の保護は高まるが、さまざまな面で負担増加が予想される。

興味を持たれたのであれば、ぜひ、一読していただきたい。