その請求書、本当に取引先のものですか?ビジネスメール詐欺(BEC攻撃)には種類がある!VEC攻撃・給与横奪攻撃とは

はじめに

2019年を契機に、ビジネスメールを使ったサイバー攻撃は激増しました。 アメリカのリサーチ企業が行ったメールセキュリティリスク評価レポート(2019年発行)によると、ビジネスメール詐欺(以下、BEC攻撃)は四半期ベースで269%まで急増しました。2022年において、BEC攻撃は最も急成長する攻撃の1つであると報告されています。

このレポートは、約50万人のユーザーが関与する2億6,000万通以上の電子メールに基づいており、あらゆる種類の電子メールの脅威が増加していることが示されています。 調査対象のうち、2,880万通がスパムメール(迷惑メール)、28,808通がマルウェアの添付ファイル、さらに28,726通が危険なファイルが添付されていました。 また、約6万通のBEC攻撃やなりすまし攻撃が含まれていました。

BEC攻撃による被害額

この報告書の結果は、FBIの統計と一致しています。 米国インターネット犯罪苦情センター(連邦捜査局(FBI)と全米ホワイトカラー犯罪センター(NW3C)が連携して設立)によると、BEC攻撃による推定世界損失額は、3年間で260億ドルを超えています。日本円に換算すると、約3兆7,000億円(1ドル142円の場合)です。そして、2018年5月から2019年7月にかけて、被害額が倍増しています。

この劇的な成長の理由は単純で、他の犯罪よりも報酬が良いためです。 FBIによると、銀行強盗で経験する平均的な損失は約3,000ドル(約43万円)であるのに対し、BEC攻撃が成功した場合の平均損失は約13万ドル(約1,800万円)です。 米国財務省は、BEC攻撃による毎月の被害額を3億ドルと見積もっています。

BEC攻撃は綿密に計画されている

BEC攻撃は、盗んだ豊富な情報で武装したメールで関係者になりすまし、金銭の送金要求や機密情報の開示に応じるように被害者を誘導する詐欺行為です。 これは、フィッシング詐欺とは異なります。フィッシング詐欺はできるだけ広い範囲に網を張ってユーザーの判断ミスを誘い、陥れようとしますが、BEC攻撃は特定のユーザーを狙って行われます。特に、人事部や財務部の上級管理職が狙われやすい傾向にあります。

まず、攻撃者はフィッシング攻撃やマルウェアキーロガーを使って、ターゲットとなる企業や組織の電子メールアカウントへ侵入を行います。時に、なりすまし行為をして認証情報を窃取する場合もあります。

認証情報を得るまでの間、攻撃者は非常に忍耐強く待ち、メールのやり取りも細部まで気を配ります。ターゲットとなる従業員のメールアカウントの認証情報を手に入れると、攻撃者は数週間から数ヶ月をかけて、「メール内容の観察」を始めます。これは、実際の取引を完璧に模倣するために、ターゲットとなる企業のコミュニケーション文化を観察し、研究しているのです。そして、準備を万全にして、犯行に及びます。

VEC攻撃とは

BEC攻撃には、さまざまな種類があります。 近年人気が高まっている攻撃は、VEC(Vendor Email Compromise)攻撃です。 VEC攻撃を行うハッカーはまず、大企業の財務部門に所属する従業員が持つ、電子メールを侵害しようとすることから始まります。

今回は、ハッカーが大企業Aを狙ったという例で進めていきたいと思います。

ハッカーはクラウドストレージや電子署名ツールのメール担当者になりすまし、大企業Aの財務部に所属する従業員の認証情報を手に入れることに成功しました。認証情報を手に入れたハッカーは、すぐに従業員のメールアカウントに転送設定を追加しました。自分が管理するメールアカウントの受信トレイへメールを転送させるためです。

ハッカーは、次々と転送されてくるメールから、必要な情報を収集していきます。VEC攻撃の場合は、特にターゲット企業がどのようなベンダーを使用しているかを調査します。そして、十分な情報を得たハッカーは、大企業Aが良く利用しているベンダーBに向けて、偽の請求書を発行し始めました。

ベンダーBは、従業員が40名程の中小企業です。VEC攻撃の場合、ハッカーが偽の請求書を発行する先は、小さな規模のベンダーが選ばれることが多いです。 請求書は大企業Aから毎月、大量に送られてくるため、ベンダーBの担当者は請求書の内容をいちいち疑問視しません。多少ルールが異なっていたとしても、お得意様である大企業Aに小さなことでケチをつけることなどせず、処理を進めてしまう事もあるでしょう。また、中小企業は詐欺メールを見分けるトレーニングが不足している可能性もあります。

従来のBEC攻撃は、代表取締役レベルのメールアカウントを侵害するものでした。指定口座に高額の送金を行わせる形式で、1回で大きな報酬を得るられるように計画されていたのです。 一方、VEC攻撃は、数週間から数カ月にかけて、ベンダーが気づかない内に小さな攻撃を継続的にしかけ、資金を吸い上げます。 この攻撃を積極的に行っているのは、西アフリカのサイバー犯罪集団で、過去1年間に14カ国、500社以上への侵入に成功しています。

給与横奪攻撃とは

BEC攻撃の中でFBIが注目した手法の中に、人事部門が標的になる攻撃も存在しています。それは、「給与の横取り」です。この手法は、1年間で815%も増加していました。

今回は、ハッカーが中小企業Bを狙ったという例で進めていきます。

ハッカーは偽装したSaaSログインページを使って、企業Bに所属する従業員が電子メールの認証情報を入力するように誘導します。認証情報を取得したハッカーは、手に入れた電子メールアカウント情報を使用して従業員になりすまし、人事部の担当者へ給与振込口座の変更を依頼するのです。

企業Bの人事部がこの依頼を受け入れれば、従業員の給与はハッカーが作成した口座に振り込まれるというわけです。振り込まれた給与はハッカーによってすぐに現金化され、盗み取られてしまいます。 FBIによると、損失総額は830万ドルと言われています。

攻撃から身を守るには

BEC攻撃は非常に複雑かつ煩雑であるため、根絶する確実な方法は存在しません。 最も効果的な方法の1つは、SpamTitanをはじめとする堅牢なメールセキュリティソフトを使用することです。

SpamTitan の機能

SpamTitanは不審なメールアドレスから届いたメールや、過去にスパム行為とされた文面と近い内容を持つメールを、スパムメールとして検疫します。

スパムメール解析データベースを基に、宛先、タイトル、本文の内容を確認し、ヒューリスティック分析でスパム値を算出。ユーザーの使い方に合わせて、検疫すべきメールを調整します。

検疫値はユーザーが決定できる

検疫させたくないメールアカウントの場合は、タイトルに「Spam」など、注意喚起をつけて通過させることも可能です。

大企業になりすましたメールのタイトルに「Spam」と表示
大企業になりすましたメールのタイトルに「Spam」と表示
(※一部ぼかしています)

他にも、アンチウイルススキャン、DMARC認証、サンドボックスなど、さまざまなツールを活用します。SpamTitanは、これらのソリューションをオプションなしでパッケージ化し、提供しています。

別途、SpamTitan PlusというSpamTitanの機能に追加したタイプの製品もあります。メール本文に記載されたURLの接続先をチェックし、マルウェアへの感染やフィッシングを目的とする危険なWebサイトや、ハッカーが作成した偽のポータルサイトへのアクセスをブロックできます。

おわりに

ハッカー集団のBEC攻撃傾向から、「いかに気づかれずに、長い時間をかけて金銭を盗み取るか」というねらいが見えてきます。また、取締役といった上級の役職以外からも金銭を盗み取る手法を日々研さんしていることも良く分かります。少しずつ、詐欺行為は巧妙化し、被害者の目に見えない方法で金銭を盗み取る方針にシフトしていくことでしょう。

このように、BEC攻撃は進化を続けています。SpamTitanの検疫メールを確認していると、日本語の使い方が不適切であることで詐欺メールを見分けていた時代は、すでに終わりを迎えつつあることが分かります。適切な日本語を使うフィッシングメールや、ビジネス詐欺メールの割合が日ごとに増加しているためです。

今までの見分け方が比較的簡易的であったことから、正しい日本語を使用したVEC攻撃や、給与横奪攻撃に対しては、財務部や人事部の従業員は未だ免疫が弱い可能性があります。メールフィルタリング製品を使ったり、部門ごとに特化したサイバー攻撃対策トレーニングを取り入れることで、新たなBEC攻撃から会社資産を守る必要性が生まれています。

ここまでお読みいただき、ありがとうございました。

参考URL:Titan HQ Business Email Compromise Attacks Spike 269%

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP