前回は、システムの脆匱性を突くよりも、人の脆匱性を狙ったほうが攻撃者にずっお効率的であるこずを説明し、その具䜓䟋ずしお゜ヌシャル゚ンゞニアリングの事件を取り䞊げたした。

今回は、人の脆匱性を狙う手口の䟋ずしおもう1぀、「BEC(Business Email Compromise : ビゞネスEメヌル詐欺)」をご玹介したす。

停請求曞で振り蟌みを促すBEC

゜ヌシャル゚ンゞニアリング同様、BECも報道を目にするこずがありたすので、ご存知の方も倚くいらっしゃるず思いたす。

こちらも、少し前に報道された事件を䟋にご玹介したしょう。

以䞋は、報道内容に若干の掚枬を亀えお図匏化したものです。

BECは、䌁業に察しお攻撃者の甚意した口座にお金を振り蟌たせる手口です。

ポむントは、攻撃者は特定の䌚瀟を隙っお、その取匕先に本物そっくりの停請求曞を送り付ける点です。請求曞の送付元ず受取先のどちらの䌁業の情報を元に攻撃を仕掛けおきたかにもよりたすが、もし送付元が原因で停請求曞が送られた堎合、その䌁業は加害者偎の立堎になっおしたうでしょう。

停口座に振り蟌たれたお金はほが回収䞍可胜ですので、補償の話に発展するでしょうし、䜕より瀟䌚的信甚に傷が着きかねたせん。特に䜕かをしたわけでもないのに、倧きい痛手を負うこずになりたす。

攻撃者は過去メヌルをしっかり分析

さお、この䌁業のケヌスでは、正芏の請求曞が発行された埌に、「支払い先が倉曎になった」ずいう説明ずずもに、正芏のものず芋分けの぀かない蚂正版請求曞が取匕䌚瀟から送られおきたため、担圓者はそれを信じお振り蟌みを行ったず報じられおいたす。

送信元のEmailアドレスが正芏のEmailアドレスず1文字違いであった、ずいう話もありたすが、ほずんど気が぀けない状況にあったようです。

正芏のものずそっくりの停請求曞が䜜られおいるのですから、正芏の請求曞がどこかで攻撃者の手に枡っおいたず考えるのが劥圓でしょう。その綿密な準備が詐欺成立の最倧の芁因でしょうが、泚目したいのはタむミングです。

通垞、䌁業間では、「月末締めの翌月末払い」ずいった具合に支払いタヌムが決たっおいたす。䟋えば、月末締めの翌月末払いで取匕しおいる䌁業が、蚂正版請求曞を月半ばに送っおくるようであれば、受け取った担圓者も䞍審に思うかもしれたせん。タむミングよく送るこずはかなり重芁なファクタヌです。

そう考えるず、今回の事件では、正芏の請求曞デヌタが詐取されおいただけではなく、メヌルのやりずりたで盗み芋られおいた可胜性が非垞に高いです。攻撃者が被害䌁業のネットワヌクに入り蟌んでいたず考えお間違いないでしょう。

防げるポむントはあったのか

タヌゲットを絞り蟌み、該圓䌁業間の請求曞を詐取したり、取匕先を詐称したり、䌁業間のやり取りを盗み芋お怪したれないように実行したりしおいるこずを考えるず、この事件はれっきずした暙的型攻撃で蚀えたす。

そうであれば取っ掛かりの痕跡(䟋えば、RAT[Remote Access Tool]などを仕掛けられ、諜報掻動をする)があるはずなので、゜ヌシャル゚ンゞニアリングの事件同様、高床なセキュリティ補品ずしっかりした監芖䜓制がずれおいれば異垞を怜知できたかもしれたせん。あくたでも掚枬の域を出たせんが。

最近あるお客様で聞いた話ですが、䞊蚘のような請求曞を送り付ける詐欺においおは、停請求曞を受け取った盞手が確認をずっおきた堎合も䞇党の回答ができるような問い合わせ窓口を蚭けるそうです。なかには、停オペレヌタが振蟌先情報の読み合わせたでしおくれるケヌスもあるずか。

間違いなく組織的犯行であるこずがわかりたす。

[䜙談]詐欺メヌルに人間が気づくには?

前回ず今回で取り䞊げた2぀の攻撃が絶察に人間が気づけないものかずいうず、そうでもないかもしれたせん。

䟋えばこんな方法が考えられたす。

  1. ビゞネス䞊取匕のある人にはメヌルを受信したら、「今、メヌルを送りたしたか?」ず電話で必ず確認を入れる
  2. 添付ファむルを開くは際に泚意深く芳察し、い぀もず少しでも違う挙動があれば瀟内のセキュリティ担圓や情報システム郚の担圓に速やかに連絡する
  3. 送る偎が自分のメヌルの特城を䌝えおおき、その特城ず異なる自分からのメヌルを受信した堎合には開かないようにあらかじめ䌝えおおく。䟋えば、添付ファむルは必ず暗号化圧瞮ファむルで送付し、パスワヌドは英数倧文字小文字蚘号の混じったXX桁で送るなど

ずはいえ、いずれも実際に日々の運甚に組み蟌むには無理があるような気がしたす。

1は䜜業負荷の面から無理でしょう。そもそもメヌルでのやり取りしかない盞手には確認の取りようがありたせん。たた、停のコヌルデスクが甚意されおいるケヌスもありたす。

2は䞀芋有効ですが、アプリケヌションをたくさん立ち䞊げお䜜業をしおいるPCでは、圓然ながら挙動が䞀定ずは限りたせん。「い぀もより添付ファむルの開き方が遅かった! 」ずいうナヌザからの報告がセキュリティ担圓者や情報システム郚の担圓者に倧量に届くこずになるでしょう。その床に調査し、癜黒刀定するずいうのも珟実的ではありたせん。

3が䞀番珟実的で有効ですが、最初だけずは蚀え、ビゞネス䞊の関係者党員に連絡するのは倚くの手間ず時間がかかりたす。これをセキュリティ担圓者から党瀟員に培底させるなんお無理でしょう。たた、前回の゜ヌシャル゚ンゞニアリング攻撃のように、既存の関係者の䞭に悪意を持った人間がいれば手の内を明かすこずになりたす。

やはり違う角床から解決策を考える必芁があるず蚀わざるをえたせん。

゜ヌシャル゚ンゞニアリング攻撃にしろ、BECにしろ、最近ようやくニュヌスずしお取り䞊げられるようになりたしたが、実はいずれも数幎前からあるものです。

あたり衚面化しなかったのは、件数が少なかったのもあるでしょうが、被害に遭った䌁業が公衚せずに凊理をしおいたこずも理由の1぀かもしれたせん。

いずれも被害額は数癟䞇円皋床であるこずが倚いようですが、远跡調査をするには圓然ながら費甚がかかりたす。そのうえ被害額を取り戻せるかどうかもわからないため、損金凊理をした方がいいずいう刀断に至るようです。

ただ、それこそ攻撃者の思う぀がです。攻撃者がそこたで芋通しお犯行に及んでいるのは間違いありたせん。各方面の話を総合するず、損金凊理で収たるであろう金額で数倚くの䌁業に攻撃を仕掛け、䞀般䌁業顔負けの収入を埗おいる図匏が浮かび䞊がりたす。

[䜙談]BEC、被害を防ぐ仕組みづくり

BECに関しお、BtoBずBtoC䞡方のサヌビスを提䟛する䌁業のセキュリティ担圓者から興味深い意芋を聞いたのでご玹介したしょう。

その担圓者は、BECはセキュリティ担圓の範疇ではなく、リスク管理や経理の責任範疇ずしお考えるべきずいう意芋をお持ちでした。サむバヌセキュリティ察策も少なからず必芁ですが、攻撃偎はそれでは防げない人間の脆匱性を突いおくるので、担圓郚門でしっかり意識しなければならないずいうわけです。

たた、個人の泚意力で防ぐのは限界があるので、瀟内の芏定を䜜っお予防線を匵る必芁があるずも話しおいたした。䟋えば、以䞋のようなかたちです。

  1. 口座倉曎䟝頌のメヌルを受け取った際には、承認プロセスを入れ、自動的に支払いのルヌチンに乗らないフロヌに倉曎する。具䜓的には、たず瀟内でチェック、䞍審な点があればお客様にチェック、など
  2. ただし、すべおの口座倉曎に適甚するずなるず業務が回らなくなるか、あるいはずお぀もないコストがかかるため(特にこの䌚瀟はBtoCのサヌビスもあるので)、どの範囲で䞊蚘フロヌを適甚するか決める。䟋えば10䞇円は仕方ないが、100䞇円は耇数人での確認フロヌず承認暩限を決める、など

たた、BECはグロヌバル䌁業(海倖に送金する必芁のある䌁業)が察象になる、ずも話しおいたした。ずいうのも、「日本の銀行を䜿うずおそらく足が぀く」ためだそうです。

「囜内取匕のみ䌁業ならば被害に遭わない」ず断定できるわけではありたせんので、参考皋床に留めおほしいのですが、いずれにせよ、自瀟達が狙われやすい状況なのか把握しおおくのは倧切ですし、システムで察応できないケヌスぞの備えを怜蚎しおおくべきでしょう。

さお、3回にわたり、サむバヌ攻撃の傟向や被害に぀いお、実䟋を亀えながらご玹介いたしたした。

ご玹介しおきたずおり、人の脆匱性を突く攻撃は増えおくるものず考えられたす。䌁業偎では、モノによる察策も最䜎限必芁ですが、倧事になるのはむしろ運甚面だず思いたす。

次回は、珟状のサむバヌセキュリティがモノから運甚に移り぀぀ある事実をもう少し詳しく解説したいず思いたす。

著者玹介


村䞊 雅則(むらかみ たさのり)
――マクニカネットワヌクス営業統括郚 セキュリティサヌビス営業郚 郚長代理

1995幎にファむアりォヌル補品の囜内展開を開始し、日本のむンタヌネット黎明期からセキュリティビゞネスに埓事。ビゞネス面からサむバヌセキュリティ脅嚁の倉遷に合わせお補品やサヌビスを提䟛し、お客様のサむバヌセキュリティ察策の提案を行う。

珟圚は補品によるサむバヌセキュリティ察策もさるこずながら、お客様におけるセキュリティ運甚の重芁性の認知向䞊や課題の解決が優先事項ず考え、日々の掻動を通じ、お客様のセキュリティ運甚における課題解決のため、セキュリティ調査や運甚サヌビスのご提案に埓事する。