英国で4700万ポンドの公金がだまし取られた。その手口はよくあるフィッシング攻撃だったという。政府機関のセキュリティ対策や事後対処に問題はなかったのか。事件から学ぶべきセキュリティの鉄則を考える。
英国歳入関税庁(HMRC:His Majesty’s Revenue and Customs)を標的とした大規模な詐欺事件が発生した。攻撃者は、フィッシング攻撃によって入手した個人情報を悪用して納税者になりすまし、約4700万ポンド(約93億円)もの公金を不正に詐取した。この事件は、正規の納税者のアカウントを乗っ取るという非常に単純な手口であったため、セキュリティ専門家から驚きと失望の声が上がっている。事件の詳細とは。
2025年6月、HMRCが財務特別委員会に提出した報告によると、攻撃者は過去に流出した個人情報やフィッシング攻撃を悪用して約10万人のアカウントを乗っ取り、巨額の税金還付金を不正に請求した。HMRCは攻撃の影響を受けた個人に連絡済みであり、「被害者に金銭的な損失はない」と公表した。この事件に関連して、既に逮捕者が出ている。
だが委員会の審議では、HMRCの対処に厳しい目が向けられた。財務特別委員会の委員長メグ・ヒリアー氏は、この一件をHMRCからの公式報告ではなく、報道で知ったことを明かし、事件の公表が遅れた姿勢を強く批判した。HMRCの監督機関である委員会には、HMRCから直接かつ迅速に報告されるべき事案だったからだ。
この事件では、攻撃者が納税者に送信したフィッシングメールが侵入経路だと特定された。そのためHMRCの立場からすれば、自組織のシステムが直接侵害されたわけではないという理由で、責任を限定的だと考えることができる。
だが法律事務所Freethsでデータおよびサイバー関連の紛争を専門とするパートナーのウィル・リッチモンドコーガン氏は、その見方に疑問を呈する。この事件は、サイバー攻撃の影響がいかに広範囲に及ぶものであるかを浮き彫りにしたと同氏は指摘する。単純な手口から始まった攻撃が、結果的に数百万ポンドもの損失へと膨れ上がったからだ。
リッチモンドコーガン氏は次のように語る。「今回の犯罪は過去の情報漏えいやサイバー攻撃があったからこそ可能になった。過去の攻撃で流出した個人情報を入手した攻撃者が、それを使って納税者になりすまし、税金の還付請求を成功させた」
メールセキュリティベンダーのEasyDMARCでCEOを務めるゲラシム・ホブハニシャン氏は、個人や組織を標的としたフィッシング攻撃は、「運任せの無差別攻撃」ではなく、特定の標的を計画的に狙う巧妙なものになっていると指摘する。無差別型のフィッシング攻撃は、特にサイバーセキュリティに関する知識が十分ではない消費者にとっては依然として大きな脅威だ。今回のHMRCを狙った大規模なフィッシング攻撃は、HMRCを装った巧妙なメールを用い、確定申告をする納税者を標的としてアカウント情報をだまし取る、計画的な標的型攻撃だったと推測される。
ホブハニシャン氏は、テキストや画像などを自動生成する人工知能(AI)技術「生成AI」の登場によって、標的型のフィッシング攻撃はごく短期間で飛躍的に危険性を増していると警鐘を鳴らす。
「生成AIによってフィッシング攻撃は大規模かつ巧妙になり、詐欺メールは本物と見分けがつかないほど説得力を持つようになった」とホブハニシャン氏は語る。同氏は、メールは頻繁に悪用されているにもかかわらず、組織が軽視しがちな攻撃経路だと指摘する。
ホブハニシャン氏が「さらに憂慮すべき事態」として言及するのは、HMRCの報告が遅れた点だ。同氏は次のように補足する。「巨額の公金が盗まれたとき、関係機関が沈黙を守ることは許されない。情報公開の遅れは機関の信頼を損ない、対処を遅らせ、攻撃者に活動時間を与えてしまう」
今回のように、サービスのエンドユーザーがサイバー攻撃の起点になる事例は後を絶たない。組織内外を問わず、エンドユーザーはしばしば組織の「第一の防御線」と見なされる。
ただしエンドユーザーの判断や注意に頼るだけでは限界があり、HMRCのように日常的に一般市民と関わる組織にとっては、現実的な対策とは言えない。セキュリティ教育は平常時でも難しい課題だ。英国立サイバーセキュリティセンター(NCSC)は、一般市民向けにフィッシングメールの見分け方や対処法に関する広範な助言やガイダンスを提供しているが、全ての国民がそれらのアドバイスを閲覧しているとは考えづらい。
こうした状況を踏まえ、フィッシングやソーシャルエンジニアリング、アカウント乗っ取り対策を専門とするAbnormal AIの最高情報責任者(CIO)であるマイク・ブリットン氏は、「HMRCは技術的な観点からもっと対策を講じることができたはずだし、そうすべきだった」と主張する。
ブリットン氏は、「政府機関は攻撃者にとって価値ある情報を保有しているため、常にサイバー攻撃の主要な標的になる」と話す。今回の事件では、攻撃者はアカウント乗っ取りを利用して詐欺行為を働いたとみられる。乗っ取り攻撃に対抗する基本的な対策の一つが多要素認証(MFA)だが、攻撃が巧妙化するにつれて、さらなる対策が必要になる。
HMRCのような大量の機密情報を抱える大規模組織に対して、ブリットン氏は「MFAだけではなく、システム全体の可視化と一元的な管理機能を組み込んだ、多層的なセキュリティ戦略の採用を検討すべきだ」と語る。
アカウント乗っ取り攻撃は急速に拡大する可能性がある。そのため組織のサイバーセキュリティ部門は、侵害されたアカウントを速やかに特定し、修復ツールを用意しておかなければならないとブリットン氏は助言する。
Copyright © ITmedia, Inc. All Rights Reserved.
本記事は制作段階でChatGPT等の生成系AIサービスを利用していますが、文責は編集部に帰属します。
なぜクラウド全盛の今「メインフレーム」が再び脚光を浴びるのか
メインフレームを支える人材の高齢化が進み、企業の基幹IT運用に大きなリスクが迫っている。一方で、メインフレームは再評価の時を迎えている。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
