2019/10/7

「情報セキュリティ10大脅威 2019」を読み解く(2) ビジネスメール詐欺による被害

「情報セキュリティ10大脅威 2019」は、独立行政法人情報処理推進機構（以下 IPA）が選出した2018年において社会的な影響が大きかったと考えられる情報セキュリティ上の脅威について、情報セキュリティ分野の研究者、企業の実務担当者など約120名で構成される「10大脅威選考会」が審議・投票し、「個人」「組織」における脅威を1位から10位まで順位づけしています。

情報セキュリティ10大脅威 2019（組織編）
※NEW 初めてランクインした脅威

IPA　情報セキュリティ脅威2019:
https://www.ipa.go.jp/security/vuln/10threats2019.html#download

本コラムでは、「情報セキュリティ10大脅威 2019」の組織部門で2位にランキングされた、「ビジネスメール詐欺による被害」についてご紹介します。

ビジネスメール詐欺とは？
国内でのビジネスメール詐欺事件
世界のビジネスメール詐欺被害
どうしてビジネスメール詐欺にだまされてしまうのか？
ビジネスメール詐欺の対策は？
ビジネスメール詐欺は進化していく

ビジネスメール詐欺とは？

IPAが発表した「情報セキュリティ10大脅威 2019（組織編）」では「ビジネスメール詐欺による被害」は昨年が３位、一昨年はランク外でしたので、ここ数年急激に脅威が増していることがわかります。ビジネスメール詐欺（Business Email Compromise：BEC）は、取引先や自社の経営者、経理担当役員等になりすまして巧妙な偽メールを送って攻撃者の口座へ送金させる詐欺の一種で、海外では何年も前から多くの事件が発生しています。

国内でのビジネスメール詐欺事件

【1】航空会社

2017年12月、日本の大手航空会社が、貨物業務委託料と旅客機リース料についての偽の請求メールに、二度にわたりだまされて約3.8億円の被害にあったと発表しました。取引先の金融会社の担当者を装うメールで支払い口座の変更依頼があり、送信元のアドレスが担当者と同じだったので航空会社側は送金し、後から本物の金融会社から督促があり、だまされたことが判明しました。

【2】自動車関連メーカー

2019年9月、日本の自動車関連メーカーはベルギーの子会社がビジネス詐欺に遭い、約40億円の資金が流出したと発表しました。外部からのメールによる虚偽の指示により経理担当者が送金したとみられています。

ビジネスメール詐欺は、海外（英語）で被害が多いのですが、IPAは2018年8月に日本語によるビジネスメール詐欺メールが確認されたとして、海外との取引がない国内企業・組織も被害に遭う可能性があることを注意喚起しています。（※1）

世界のビジネスメール詐欺被害

米連邦捜査局（FBI）の2018年7月の発表によると、2013年10月～2018年5月までに発生したビジネスメール詐欺事件は世界中で7万8,617件、被害総額は125億ドルに上っています。1件当たりの被害額は約16万ドルなので、攻撃者にとっては、成功すれば金銭的なメリットが大きい攻撃手法の１つになっています。（※2）

2019年の海外事例では、教会の改装費用（米国オハイオ州のセントアンブローズ協会、被害額：175万ドル）や、自治体の建設費用（カナダサスカチュワン市、被害額：104万カナダドル）など、建設会社を装ったビジネスメール詐欺で大きな被害が出ていますが、ここ数年は不動産取引に関するビジネスメール詐欺も増えてきています。

どうしてビジネスメール詐欺にだまされてしまうのか？

どうしてビジネスメール詐欺に企業／組織はだまされてしまうのでしょうか？

多くのビジネスメール詐欺事件では、攻撃者が攻撃対象組織の従業員に対し、フィッシングメール等を通じてマルウェアに感染させ、メールを盗み見しています。大企業を攻撃する熟練の攻撃者は、数か月~数年かけて、取引先との普段のメールのやり取りをじっくり偵察し、大口の支払いの機会が訪れるのを待って攻撃してきます。

盗み見されるメールアカウントが自組織の場合は、フィッシングメールに関する従業員教育や、セキュリティソフトを導入し最新の状態にすることなどで、マルウェア感染のリスクを軽減することが可能ですが、メールの盗み見が自社ではなく取引先側のメールアカウントで発生していた場合は、こうした対策だけでは不十分です。

つまりビジネスメール詐欺対策は、支払いが発生する時期に、取引先の担当者メールアドレスから、虚偽の振込先変更指示が来る可能性があることを“前提にして”考える必要があるのです。

やり取りをするメールアカウントが既に攻撃者の侵害を受けている場合、虚偽の振込先変更について取引先へ確認メールを出したとしても、ビジネスメール詐欺を見破ることはできないかもしれません。攻撃者が確認メールを取引先担当より早く把握し、「振込先変更は問題ない」旨の返信をしてくるかもしれないからです。さらに、攻撃者がこうした一連のやり取りのメール証跡を削除してしまえば、取引先が支払い督促をするまで、虚偽の振込先への送金について疑問に思う人は誰もいません。これがビジネスメール詐欺の成功要因の１つになっています。

ビジネスメール詐欺の対策は？

ビジネスメール詐欺にはどう対応すればよいのでしょうか？
最も重要なのは、取引先とのコミュニケーション手段がメールだけの1経路である部分を見直すことです。

たとえば振込先や決済手段の変更は、正規の依頼書フォーマットに経理責任者の署名付きで申請しなければ受け付けないルールをつくり、取引先にもその旨お願いしておくのも有効な対策と言えます。攻撃者はメールだけでなく、郵送という2経路目も侵害しないとビジネスメール詐欺が成立しなくなるのです。

あるいは、振込先や決済手段の変更の依頼があった際には、予め登録されている取引先の電話番号に確認の電話を入れるという運用も、電話の部分が2経路目になりますので、非常に有効な対策だと思います。

ビジネスメール詐欺は進化していく

ビジネスメール詐欺は、近い将来「メール」の部分が変わっていくことが予想されます。
最近のニュースでも、英国を拠点とするエネルギー企業のCEOがAIによる音声技術でだまされたとして約24万ドルの被害を出したことが報じられています。（※3）

攻撃者は、あの手この手で大金を送金させようと「人の脆弱性」を狙ってきます。今後、手口はますます巧妙になり、日本語での攻撃も増えてくることが予想されますが、ゼロトラスト（相手を信頼せずに、必ず確認する）の考え方で、自社の運用を見直すことが重要になります。

参考：
※1 【注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口
https://www.ipa.go.jp/security/announce/201808-bec.html
※2　世界のビジネスメール詐欺、5年弱で125億ドル　
https://www.nikkei.com/article/DGXMZO33096680Y8A710C1000000/
※3　Fraudsters Used AI to Mimic CEO’s Voice in Unusual Cybercrime Case
https://www.wsj.com/articles/fraudsters-use-ai-to-mimic-ceos-voice-in-unusual-cybercrime-case-11567157402

関連記事:
・「情報セキュリティ10大脅威 2019」を読み解く (1)　標的型攻撃による被害
 ・「情報セキュリティ10大脅威 2019」を読み解く (3)　ランサムウェアによる被害
 ・「情報セキュリティ10大脅威 2019」を読み解く (4)　サプライチェーンの弱点を悪用した攻撃の高まり
 ・「情報セキュリティ10大脅威 2019」を読み解く (5)　内部不正による情報漏えい
 ・「情報セキュリティ10大脅威 2019」を読み解く (6)　サービス妨害攻撃によるサービスの停止、IoT機器の脆弱性の顕在化

情報セキュリティコラム一覧:
https://www.dnp.co.jp/biz/theme/security/