情報セキュリティ白書 ダントツ人気コンテンツの「国内のセキュリティインシデント」 その12 ビジネスメール詐欺(BEC)①
「国内のセキュリティインシデント」の連載の締めくくりとして、ビジネスメール詐欺を取り上げます。ビジネスメール詐欺(以後BEC:Business Email Compromise)は、巧妙な騙しの手口を駆使した偽のメールを企業などに送り付け、従業員を騙して送金取引に関わる資金を詐取するなどの金銭被害をもたらすサイバー攻撃です。
BECでは、攻撃者が標的の企業・組織とその取引先とのメールのやり取りに介入してくることもあり、攻撃の前段階としてフィッシングや情報を窃取するウイルスを用いて、従業員や取引先のメールアカウント情報を狙うことがあります。そして、そのメールでの詐欺手口は主に以下の5つに分類・整理されています。
タイプ 1:取引先との請求書の偽装
タイプ 2:経営者などへのなりすまし
タイプ 3:窃取メールアカウントの悪用
タイプ 4:社外の権威ある第三者へのなりすまし
タイプ 5:詐欺の準備行為と思われる情報の詐取
ここからは、IPAのJ-CSIP (サイバー情報共有イニシアティブの略称。IPAを情報ハブ(集約点)の役割として、参加組織間で情報共有を行い、高度なサイバー攻撃対策につなげていく取り組み。)という活動で得られた、実際に使われた騙しの手口を紹介していきます。
1.新規取引先の見積書の価格修正を装う手口
これまでのBECでは、メールのやり取りにおいて、「振込先の口座変更が生じた」と称し、攻撃者の指定する口座に振り込ませようとする手口が多く発生していました。しかし、この事例ではこれまでの手口とは異なる特徴がありました。図1は一連のメールのやり取りです。
図1:攻撃者が介入したメールのやり取り(白書P19)
A社はB社の新規の海外取引先で、初回の請求と振り込みに関するやり取りを行っていました。図1の赤枠がこの手口における象徴的な箇所です。本物の取引先であるB社が見積書の差し替えを連絡したところ、翌日に攻撃者がB社になりすまし「再度正しい見積書を送る」と称し、「見積書に記載されていた支払先の銀行口座を偽の口座情報に改変した」というものです。
図2は実際に攻撃者が送付したメールの文面です。赤枠の箇所では本物の見積書を破棄させようとしています。
このやり取りで巧妙なのは以下2点です。
①「口座の変更」ではなく「見積書の価格修正」と称したこと
➁「直前に送った見積書を破棄してください」と申し添えていたこと
図2:実際に攻撃者が送付したメール(白書P22)
取引先と直接やりとりしている営業担当者などがこのメールを真に受け、騙されてしまうと、改変後の見積書を“正しい”ものとして、経理部門などへ渡してしまいかねません。その結果、支払担当部門には改変後の見積書しか渡らず、口座変更の依頼があったことを経理部門は認識できません。加えて、新規取引先への送金では、以前の送金実績から口座の確認も出来ず、偽の口座であると見抜くことは困難と考えられます。
IPAではこれまでBECへの対策の1つとして「急な振込先口座の変更などの場合、事実関係の確認」を推奨し、注意を促してきました 。しかしこの手口の場合、急な振込先の変更ではありましたが、事実関係の確認は容易ではありませんでした。
2.実在するCEOなどを詐称する一連の攻撃
2019年10月に「国内のグループ企業の経営層を詐称した、なりすましメールが送付されている」という情報提供があり、IPAが独自に調べたところ類似の手口が62件確認されました。これらのメールには件名、本文、攻撃者のメールアドレスなどに共通する特徴がありました。例えばメールの差出人や返信先に設定されたメールアドレスには規則性があり、「secure」という単語や「mars」「mercury」といった天体に関する単語が使われていました。このような特徴などから同一者が国内外の多数の組織にメールを送り付けていたと推測されました。
また、IPAが確認した限り、実在するCEOや弁護士を詐称したなりすましメールが、2019年7月23日から2020年1月16日にかけて送信されていました。これも同一の攻撃者によるものとみています。
これらのメールの文面は簡素で「重要な用件がある」「計画について話がしたい」など、具体的な用件は書かれていないものの、メールの返信を求める内容であり、ほとんどが英文(図3)でした。(日本語メールも1通確認されました(図4)。
図3:実在するCEOを詐称したメール(白書P22)
図4:実在するCEOを詐称した日本語のメール(白書P22)
この様に典型的なCEO詐欺のメールではありますが、実際に受信者が返信してしまったという例がありました。残念ながら、こうした詐欺メールであっても真に受け、返信してしまう割合が一定数存在します。返信をきっかけに巧妙な詐欺に巻き込まれる恐れがあり、いかにも怪しいメールだとしても侮るべきではありません。そしてうっかり騙されないためにも、BECの騙しの手口を理解しておく必要があります。次回は、IPAがJ-CSIP の活動から得た情報を基に、具体的な騙しの手口を紹介します。
「情報セキュリティ白書2020」のPDF版が12月1日から簡単にダウンロードできるようになりました。ダウンロード後には是非アンケートにご協力ください。
https://www.ipa.go.jp/publish/wp-security/sec-2020.html
この記事が気に入ったらサポートをしてみませんか?