数うちゃ当たる

新型コロナウイルスの感染拡大に伴い、顕著に増えたのが「メール」を用いた詐欺行為である。本格的に世界中の都市が封鎖や渡航制限などを行った2020年3月になると、「新型コロナウイルス」に関連したフィッシング詐欺は前月比で7倍以上に急増した。*1

パンデミックやテロなどの「パニック」を活用することで、その成功率を高められるからだ。

「パニック」とは合理的な思考や行動を妨げる突然の強い恐怖感であり、これによる合理的な思考や行動の欠如が悪意ある者を助けることになる。

新型コロナウイルスの混乱に乗じてWHO (世界保健機関)や CDC (米国疾病予防管理センター)などの信頼できる機関や相手からのメールを装い、添付ファイルを開かせたり、リンクをクリックさせたりする詐欺が横行した。

ちなみに、電子メールの1,000通に6通はフィッシング詐欺のメールだという調査結果もある。*2

1営業日あたり100通程度のメールを受け取る人であれば、2日に1通のペースでフィッシング詐欺のメールが紛れ込んでいるということになる。思っているより少ない?

いずれにしても、不特定多数に送りつけるので「数うちゃ当たる」というわけだ。

  • 電子メールの1,000通に6通はフィッシング詐欺のメールだという調査結果もある

量より質

メールを用いた詐欺行為は、数うちゃ当たるような「量」で攻めるものばかりではない。当然、「質」を高めることで成功を狙うものもある。

「ビジネスメール詐欺(BEC: Business Email Compromise)」と呼ばれる手口などはそれだ。特定のターゲットに偽物の請求書を送りつけ、通常の取引を悪用して金銭を詐取する手口である。

では、どのようにして偽物の請求書を送りつけているのか? 多く見られる手口としては、本物の請求書を顧客に送付した直後に、悪意ある者から顧客に連絡が入る。

「先ほどお送りした請求書の振込先が変更になったので、新しい請求書に差し替えてください。」

そして、この「新しい請求書」こそ偽物なのだが、差し替えられた偽物に記載されている別の口座に支払ってしまい、まんまとせしめ取られてしまうのだ。

いやいや、そんなに簡単に騙されるわけないでしょと思われるかもしれないが、ビジネスメール詐欺被害は年々増加しており、日本でも一日あたりおよそ1件のペースで実害が発生している。*3

電話までも

ビジネスメール詐欺の大半では「経理担当者」を狙ったものであることも特徴の1つだ。 金銭を詐取するために悪用したい取引を社内で担当しているのは、多くの場合「経理担当者」であることがその理由である。企業間の取引だけでなく、社員を装って給与を横取りしようとする手口も近年では目立っている。

では、どうやって騙せるほど巧妙な詐欺を仕掛けるのか?

被害に遭った企業のいずれか、または双方が長期にわたって不正侵入の被害に遭っていることが多い。

そして、この不正侵入被害によって、「経理担当者は誰なのか?」「顧客の担当者は誰なのか?」「請求書に署名したサイン(もしくは印影)は?」といったことから、通常の支払いサイトや、より本物感を出すために口調やその他のやり取りといったことなどを盗み見られている。だから、偽請求書や偽メールなどの完成度が高いのだ。

さらに近年では、AI によって言語処理することで現在話されている一般的な語彙や構文を用い、窃取した情報と組み合わせて自然かつ高度にパーソナライズされた文面を瞬時に作成することもある。高度にパーソナライズされた文面は「人」だけでなく、スパムフィルターなどのセキュリティ機能をも巧妙にかい潜ることができてしまう。

つまり、このような詐欺事件の被害に遭う前段として、ハッキングの被害に遭っているというわけだ。もちろんそれ以外の方法で盗み見られていることもあるが、私自身がこれまで調査に協力してきた事件も含めてハッキングが第一歩となってしまっていることが非常に多い。

中には偽請求書を疑った顧客が電話で確認することもある。

そのような場合、ボイスチェンジャーや音声合成ソフトなどを用いて担当者になりすました悪意ある者が、ご丁寧にも「あなたの(偽)請求書は、本物ですよ」と教えてくれることもある。

技術的にも組織的にも

新型コロナウイルスの感染拡大に伴う在宅勤務の推進によって、業務フローそのものが変わってしまった企業も多い。そのためチェック体制が手薄になってしまっている企業が増えたこともまた事実である。

また、偽請求書に記載されている電話番号に確認の電話をかけてしまうと、前述のように担当者になりすました悪意ある者が対応する可能性もある。

そこで、会社の代表番号や担当者への直通番号に電話確認することを決めている企業もあるが、残念ながら在宅勤務のため電話も繋がらず、唯一の連絡手段となっているメールも乗っ取られていて本物の担当者に確認できないという事例も発生している。

パニックを活用して詐欺の成功率を高めることを前述したが、これらのことも悪意ある者に対して新たな機会をつくり出してしまっている。そのため、withコロナに即した対応手順の見直しも必要だろう。

そして、このような事件に発展した際に、取引先とモメることも非常に多い。

「御社が対策していれば偽請求書なんて送られなかった」とか「御社が偽請求書に騙されなければこんな事件にならなかった」などといった具合にだ。

そのため、偽請求書をメールで送らせないようにするためにメールサーバのSPFレコードを有効にし、なりすましを規制するといった技術的対応をとることで、いくらか詐欺事件への発展を回避することが望ましい。

また、受け取った請求書の支払先に変更があった場合には、必ず相手に確認したり、メールアドレスや電話番号が正規のものからであることを確認するといった組織的対応で、人的なミスを最小化するためのプロセスもみなおすべきだろう。

悪意ある者は日々技術的にも組織的にもつけ入る隙が無いものかと探っているので、私たちも備えていかなくてはならない。

*1 https://blog.barracuda.com/2020/03/26/threat-spotlight-coronavirus-related-phishing/ 参照
*2 https://www.microsoft.com/security/blog/2019/12/11/the-quiet-evolution-of-phishing/ 参照
*3 https://pdf.ic3.gov/2018_IC3Report.pdf 参照

【著者】足立照嘉(あだちてるよし)

ロンドンを拠点に活動するサイバーセキュリティ専門家。サイバーセキュリティ企業の経営者としておよそ20年の経験を持ち、国内外の通信会社やIT企業などのサイバーセキュリティ事業者に技術供給およびコンサルティングを提供。外資系金融機関のサイバーセキュリティ顧問なども兼任。また、サイバーセキュリティ関連技術への投資や経営参画なども行っている。大阪大学大学院工学研究科共同研究員。主な著書に「サイバー犯罪入門」(幻冬舎)、「GDPR ガイドブック」(共著/実業之日本社)、「3分ハッキングサイバー攻撃から身を守る知識」(かんき出版)がある。