前回は、システムの脆弱性を突くよりも、人の脆弱性を狙ったほうが攻撃者にとって効率的であることを説明し、その具体例としてソーシャルエンジニアリングの事件を取り上げました。
今回は、人の脆弱性を狙う手口の例としてもう1つ、「BEC(Business Email Compromise : ビジネスEメール詐欺)」をご紹介します。
偽請求書で振り込みを促すBEC
ソーシャルエンジニアリング同様、BECも報道を目にすることがありますので、ご存知の方も多くいらっしゃると思います。
こちらも、少し前に報道された事件を例にご紹介しましょう。
以下は、報道内容に若干の推測を交えて図式化したものです。
BECは、企業に対して攻撃者の用意した口座にお金を振り込ませる手口です。
ポイントは、攻撃者は特定の会社を騙って、その取引先に本物そっくりの偽請求書を送り付ける点です。請求書の送付元と受取先のどちらの企業の情報を元に攻撃を仕掛けてきたかにもよりますが、もし送付元が原因で偽請求書が送られた場合、その企業は加害者側の立場になってしまうでしょう。
偽口座に振り込まれたお金はほぼ回収不可能ですので、補償の話に発展するでしょうし、何より社会的信用に傷が着きかねません。特に何かをしたわけでもないのに、大きい痛手を負うことになります。
攻撃者は過去メールをしっかり分析
さて、この企業のケースでは、正規の請求書が発行された後に、「支払い先が変更になった」という説明とともに、正規のものと見分けのつかない訂正版請求書が取引会社から送られてきたため、担当者はそれを信じて振り込みを行ったと報じられています。
送信元のEmailアドレスが正規のEmailアドレスと1文字違いであった、という話もありますが、ほとんど気がつけない状況にあったようです。
正規のものとそっくりの偽請求書が作られているのですから、正規の請求書がどこかで攻撃者の手に渡っていたと考えるのが妥当でしょう。その綿密な準備が詐欺成立の最大の要因でしょうが、注目したいのはタイミングです。
通常、企業間では、「月末締めの翌月末払い」といった具合に支払いタームが決まっています。例えば、月末締めの翌月末払いで取引している企業が、訂正版請求書を月半ばに送ってくるようであれば、受け取った担当者も不審に思うかもしれません。タイミングよく送ることはかなり重要なファクターです。
そう考えると、今回の事件では、正規の請求書データが詐取されていただけではなく、メールのやりとりまで盗み見られていた可能性が非常に高いです。攻撃者が被害企業のネットワークに入り込んでいたと考えて間違いないでしょう。
防げるポイントはあったのか
ターゲットを絞り込み、該当企業間の請求書を詐取したり、取引先を詐称したり、企業間のやり取りを盗み見て怪しまれないように実行したりしていることを考えると、この事件はれっきとした標的型攻撃で言えます。
そうであれば取っ掛かりの痕跡(例えば、RAT[Remote Access Tool]などを仕掛けられ、諜報活動をする)があるはずなので、ソーシャルエンジニアリングの事件同様、高度なセキュリティ製品としっかりした監視体制がとれていれば異常を検知できたかもしれません。あくまでも推測の域を出ませんが。
最近あるお客様で聞いた話ですが、上記のような請求書を送り付ける詐欺においては、偽請求書を受け取った相手が確認をとってきた場合も万全の回答ができるような問い合わせ窓口を設けるそうです。なかには、偽オペレータが振込先情報の読み合わせまでしてくれるケースもあるとか。
間違いなく組織的犯行であることがわかります。
[余談]詐欺メールに人間が気づくには?
前回と今回で取り上げた2つの攻撃が絶対に人間が気づけないものかというと、そうでもないかもしれません。
例えばこんな方法が考えられます。
- ビジネス上取引のある人にはメールを受信したら、「今、メールを送りましたか?」と電話で必ず確認を入れる
- 添付ファイルを開くは際に注意深く観察し、いつもと少しでも違う挙動があれば社内のセキュリティ担当や情報システム部の担当に速やかに連絡する
- 送る側が自分のメールの特徴を伝えておき、その特徴と異なる自分からのメールを受信した場合には開かないようにあらかじめ伝えておく。例えば、添付ファイルは必ず暗号化圧縮ファイルで送付し、パスワードは英数大文字小文字記号の混じったXX桁で送るなど
とはいえ、いずれも実際に日々の運用に組み込むには無理があるような気がします。
1は作業負荷の面から無理でしょう。そもそもメールでのやり取りしかない相手には確認の取りようがありません。また、偽のコールデスクが用意されているケースもあります。
2は一見有効ですが、アプリケーションをたくさん立ち上げて作業をしているPCでは、当然ながら挙動が一定とは限りません。「いつもより添付ファイルの開き方が遅かった! 」というユーザからの報告がセキュリティ担当者や情報システム部の担当者に大量に届くことになるでしょう。その度に調査し、白黒判定するというのも現実的ではありません。
3が一番現実的で有効ですが、最初だけとは言え、ビジネス上の関係者全員に連絡するのは多くの手間と時間がかかります。これをセキュリティ担当者から全社員に徹底させるなんて無理でしょう。また、前回のソーシャルエンジニアリング攻撃のように、既存の関係者の中に悪意を持った人間がいれば手の内を明かすことになります。
やはり違う角度から解決策を考える必要があると言わざるをえません。
ソーシャルエンジニアリング攻撃にしろ、BECにしろ、最近ようやくニュースとして取り上げられるようになりましたが、実はいずれも数年前からあるものです。
あまり表面化しなかったのは、件数が少なかったのもあるでしょうが、被害に遭った企業が公表せずに処理をしていたことも理由の1つかもしれません。
いずれも被害額は数百万円程度であることが多いようですが、追跡調査をするには当然ながら費用がかかります。そのうえ被害額を取り戻せるかどうかもわからないため、損金処理をした方がいいという判断に至るようです。
ただ、それこそ攻撃者の思うつぼです。攻撃者がそこまで見通して犯行に及んでいるのは間違いありません。各方面の話を総合すると、損金処理で収まるであろう金額で数多くの企業に攻撃を仕掛け、一般企業顔負けの収入を得ている図式が浮かび上がります。
[余談]BEC、被害を防ぐ仕組みづくり
BECに関して、BtoBとBtoC両方のサービスを提供する企業のセキュリティ担当者から興味深い意見を聞いたのでご紹介しましょう。
その担当者は、BECはセキュリティ担当の範疇ではなく、リスク管理や経理の責任範疇として考えるべきという意見をお持ちでした。サイバーセキュリティ対策も少なからず必要ですが、攻撃側はそれでは防げない人間の脆弱性を突いてくるので、担当部門でしっかり意識しなければならないというわけです。
また、個人の注意力で防ぐのは限界があるので、社内の規定を作って予防線を張る必要があるとも話していました。例えば、以下のようなかたちです。
- 口座変更依頼のメールを受け取った際には、承認プロセスを入れ、自動的に支払いのルーチンに乗らないフローに変更する。具体的には、まず社内でチェック、不審な点があればお客様にチェック、など
- ただし、すべての口座変更に適用するとなると業務が回らなくなるか、あるいはとてつもないコストがかかるため(特にこの会社はBtoCのサービスもあるので)、どの範囲で上記フローを適用するか決める。例えば10万円は仕方ないが、100万円は複数人での確認フローと承認権限を決める、など
また、BECはグローバル企業(海外に送金する必要のある企業)が対象になる、とも話していました。というのも、「日本の銀行を使うとおそらく足がつく」ためだそうです。
「国内取引のみ企業ならば被害に遭わない」と断定できるわけではありませんので、参考程度に留めてほしいのですが、いずれにせよ、自社達が狙われやすい状況なのか把握しておくのは大切ですし、システムで対応できないケースへの備えを検討しておくべきでしょう。
さて、3回にわたり、サイバー攻撃の傾向や被害について、実例を交えながらご紹介いたしました。
ご紹介してきたとおり、人の脆弱性を突く攻撃は増えてくるものと考えられます。企業側では、モノによる対策も最低限必要ですが、大事になるのはむしろ運用面だと思います。
次回は、現状のサイバーセキュリティがモノから運用に移りつつある事実をもう少し詳しく解説したいと思います。
著者紹介
村上 雅則(むらかみ まさのり)
――マクニカネットワークス営業統括部
セキュリティサービス営業部 部長代理
1995年にファイアウォール製品の国内展開を開始し、日本のインターネット黎明期からセキュリティビジネスに従事。ビジネス面からサイバーセキュリティ脅威の変遷に合わせて製品やサービスを提供し、お客様のサイバーセキュリティ対策の提案を行う。
現在は製品によるサイバーセキュリティ対策もさることながら、お客様におけるセキュリティ運用の重要性の認知向上や課題の解決が優先事項と考え、日々の活動を通じ、お客様のセキュリティ運用における課題解決のため、セキュリティ調査や運用サービスのご提案に従事する。