「ビジネスメール詐欺」(BEC)の被害はこうして生まれる:仮想事例で学ぶ(1/2 ページ)
「ビジネスメール詐欺」(BEC)の被害が国内外に広がっている。その背景には、攻撃を成功させるための巧妙な仕掛けがあった。具体的な攻撃手法と、その対策を解説する。
巧妙ななりすましメールで不正送金や情報窃取といった詐欺行為をする「ビジネスメール詐欺」(BEC)は増加傾向にあり、企業が負担するコストも数十億ドルに上っている。
BECは、その犯罪活動の組み立てに要する手順、時間、労力が、他のメール詐欺とは異なる。これらの手順は、航空防衛大手Lockheed Martinが提唱し、標的型攻撃における攻撃者の行動を構造化した「サイバーキルチェーン」に厳密に従っている。そのことが、BECをより危険にしている。
セキュリティ担当者にとって、どれだけ適切に保護していても、ネットワークが侵害されないことを保証するのは難しい。国家から支援を受けるサイバー諜報(ちょうほう)グループには、非常に潤沢な資金とリソースがある。こうしたグループに所属する攻撃者が、企業のLANへの侵入を考えた場合、その侵入は成功すると考えて間違いないだろう。時間も資金もほぼ問題にならないからだ。
国家の支援を受ける攻撃者は、企業の構造と従業員の配属について大掛かりな調査をして企業を研究し、標的を特定する。多くの場合、攻撃経路にメールを使用して、マルウェアをLANの内部に侵入させる。その後、標的の価値に応じて、パッチ未公開のゼロデイ脆弱(ぜいじゃく)性や、それに近い脆弱性を突いて攻撃する。こうした一連の行為を通じて、事前対応型防御の不備を確認する。ネットワークセキュリティ担当者にとっては恐ろしい話だ。
2018年2月、米戦略国際問題研究所(CSIS)はMcAfeeと共同で「Economic Impact of Cybercrime――No Slowing Down」(衰えることのないサイバー攻撃の経済的影響)という報告書を発表した。同報告書では、洗練されたサイバー攻撃の急増は世界的な経済負担を招き、損失額は年間6000億ドルになると推定した。
併せて読みたいお薦め記事
企業版振り込め詐欺「ビジネスメール詐欺」の脅威と対策
- いまさら聞けない「ビジネスメール詐欺」(BEC)とは何か? 1000万円超の被害も
- “社長からのメール”は疑うべき? 「ビジネスメール詐欺」(BEC)の巧妙な手口
- 国内でも高額被害 「ビジネスメール詐欺」(BEC)を食い止めるための対策とは?
「メールセキュリティ」関連記事
広がるBECの被害
ほとんどの企業は、BECの被害に遭ったことを公式には認めない。ただし攻撃が成功したことを隠せない場合もある。
AirbusやBoeingに設備を販売している航空防衛企業のFACCは、2016年にBECで5400万ドルを失った。「フェイクプレジデント」詐欺として知られるインシデントだ。ハッカーはメールを使ってCEOになりすまし、サイバー犯罪者が管理している口座に電信送金させた。その直接的な結果として、同社のCEOと最高財務責任者(CFO)は、取締役会によって解雇された。
セキュリティベンダーSecureworksは2017年、海運業界を標的にしたBECについて指摘する報告書を発行した。「Gold Galleon」と名乗るナイジェリアからのその攻撃者は、偽の請求書を使って400万ドル近くを盗み出した。複数の企業に対するその攻撃では、人の心の隙を突く「ソーシャルエンジニアリング」とマルウェアを組み合わせて利用していた。
2017年、FBIは金銭目的のサイバー攻撃の脅威として、公共広告を通じてBECに関する警告を発した。その警告でFBIは、BECが世界中で実行されており、4万203件の国内/国際的インシデントによって約53億ドルが失われたと説明している。これらのインシデントは2013年10月から2016年12月までの間に、IC3やその他の情報源に報告された。
2018年5月、FBIは「2017 Internet Crime Report」(2017年版インターネット犯罪報告書)を発表した。それによるとBECとメールアカウント侵害に関する苦情が、2017年には1万5690件に達した。これは6億7600万ドルの損失を表す。
FBIの推定によると、BECにより米国企業では2013年以降、各社のさまざまな対策で数百万ドルのコストがかかっているという。同年からIC3は、金銭目的のインターネット詐欺へとつながったスピアフィッシング攻撃、ID盗難、なりすましメール、マルウェアの追跡に着手した。
BECの目標は、企業内の従業員に「上司」や「取引先」からの要求に応じる行動を取らせて、詐欺口座に電信送金させることだ。攻撃活動は一般的に、納税時期や事業年度末に始まる。サイバー犯罪者がプレッシャーの掛かった財務チームに付け込めるようにするためだ。これを見事に成功させるには、組織の構造を詳しく把握している必要がある。
犯罪グループは法律家、言語学者、私立探偵、アナリストを利用して、標的企業について洞察を得る。スピアフィッシングやマルウェアを使って標的企業のLANや請求システムにもアクセスする。支払いの仕組みを理解するためだ。
BECはこうして成功する
BECの一般的な筋書きは、次のようになる。
Copyright © ITmedia, Inc. All Rights Reserved.