米連邦捜査局(FBI)による最新の統計では、2013年10月から2016年6月における「Business Email Compromise(BEC、ビジネスメール詐欺)」の活動による被害総額は約31億米ドル(約3245億円。2016年6月17日現在)に達し、世界中で約2万2千の企業へ被害が及んでいます。

2015年8月に公表された米連邦捜査局(FBI)と米国インターネット犯罪苦情センター(IC3)の情報では、ビジネスメール詐欺は 2013 年 10月頃から確認されており、2015 年 8 月までの被害総額はおよそ 8 億米ドル(約 875 億円。2016年5月25日の時点)で1300パーセントの増加を示し、一被害者あたりの被害額はおよそ14万米ドル(約 1465 万円、2016年6月17日の時点)に及ぶとしています。

■ビジネスメール詐欺の手口

FBIでは ビジネスメール詐欺を「海外取引先と電信送金を介して支払いする企業を標的にした巧妙な Eメール詐欺」と定義しています。かつては「Man-in-the-Email Scam(Eメールの中間者詐欺)」としても知られており、ビジネスメール詐欺は通常、企業幹部などの Eメールアカウントを侵害し、そのアカウントを悪用した「なりすまし詐欺」から始まります。サイバー犯罪者は、企業の幹部社員を装って何も知らない従業員にメール連絡し、海外取引先の口座等へ多額の送金を指示します。

ビジネスメール詐欺では、不正プログラムが利用される場合もありますが、通常は、ソーシャルエンジニアリングの手法のみが駆使されるため、検出が困難になります。最近の事例でも「企業幹部のメッセージを装って情報収集する」というソーシャルエンジニアリングの手法を駆使した Eメールに従業員が翻弄される様子が示されていました。

ビジネスメール詐欺の手口には、以下の 5タイプがあります。

タイプ1:偽の請求書になりすます


このタイプは、「Bogus Invoice Scheme(偽の請求書詐欺)」・「Supplier Swindle(サプライヤー詐欺)」・「Invoice Modification Scheme(請求書偽造の手口)」などの名称で知られており、主に海外と取引している企業が被害に遭います。サイバー犯罪者は、電話、FAX、Eメールなどを介して請求書の支払い先住所や送金先を別の偽口座に変更するよう顧客に連絡します。

タイプ2:CEOになりすます


このタイプでは、サイバー犯罪者は企業幹部のメールアカウントになりすまします。企業幹部の代行として送信されたように偽装した依頼メールは、別の従業員に転送され、サイバー犯罪者の管理下にある偽口座へ送金されます。「緊急の送金依頼」などの件名で、資金を緊急送金するよう金融機関や銀行に直接依頼されるケースもあります。こうした詐欺は「CEO Fraud(CEO詐欺)」・「Business Executive Scam(企業幹部詐欺)」・「Masquerading(なりすまし詐欺)」・「Financial Industry Wire Fraud(金融業界送金詐欺)」などの名称で知られています。

タイプ3:アカウントの侵害


例えば、企業 A のある従業員のメールアカウントが乗っ取られ、そのメールアカウント内のコンタクトリストに記載された取引先に対して請求書の支払い依頼メールが送信されます。支払い先は、サイバー犯罪者の管理下にある偽口座が指定されます。

タイプ4:弁護士になりすます


このタイプでは、サイバー犯罪者は、弁護士か弁護士事務所の代表などになりすまして企業の従業員やCEOに連絡をとり、緊急を要する機密案件である旨を伝えます。通常、電話やEメールで連絡し、送金を早急かつ秘密裏に行うべきであるなどというプレッシャーを連絡を受けた側に与えます。このタイプのビジネスメール詐欺は、早く帰宅して休みたい相手に心理的に圧迫するため、終業間際や週の終わりなどに実行されます。

タイプ5:情報窃取


このタイプでは、標的にした企業や組織において、人事担当など特定任務を担っている従業員のメールアカウントが利用されます。そして人事担当者になりすまして、送金依頼ではなく、他の従業員や幹部社員の個人情報を窃取します。そして、こうして窃取された個人情報は、その企業や組織を標的にしたさらなるビジネスメール詐欺の攻撃キャンペーンに利用されます。

■ビジネスメール詐欺の被害件数の国別分布


■なりすましに最も多用された職位

ビジネスメール詐欺の手法は、標的となる企業の従業員になりすますなど、ソーシャルエンジニアリングに依存しています。これまでにビジネスメール詐欺で使用されたメール情報を確認すると、なりすましに最も多用された職位は、最高経営責任者(CEO)となっています。サイバー犯罪者は、企業の CEO になりすましてメールを送信し、標的に対して送金を指示します。その他、社長や取締役などの職位も利用されていました。


サイバー犯罪者に最も多用された職位

■最もよく狙われた職位

財務部門の従業員が、ビジネスメール詐欺で最もよく狙われる対象であることが確認されました。トレンドマイクロが確認した範囲では、最高財務責任者(Chief Fiance Officer、CFO)が第1位を占めていました。こうした従業員が送金の責任や業務を担っていることを考えると、予想どおりの結果といえるでしょう。

最もよく狙われた職位
最もよく狙われた職位

■多用されたメールの件名

ビジネスメール詐欺は、その大きな影響力にもかかわらず、攻撃手順は、驚くほど些末な要素で構成されていることが分かります。ビジネスメール詐欺で使用されているメールの件名は、ほとんどがごく簡単かつ曖昧なもので、多くの場合、一語だけだったりします。しかしその効果の程は、冒頭の被害規模からも明らかです。

ビジネスメール詐欺で使用された件名
ビジネスメール詐欺で使用された件名

■サイバー犯罪者に利用されたツール

2014年に確認された情報窃取の事例でも、サイバー犯罪者が従来とは若干異なるビジネスメール詐欺特有の手法で活動したことが示されました。それらの攻撃は「Predator Pain」や「Limitless」と名付けられ、ごく簡単なキーロガーを含んだEメールを標的に送信して情報窃取するという方法です。同様に2015年の事例でも、2人のナイジェリア人サイバー犯罪者が「HawkEye」という簡単なキーロガーを用いて、中小・中堅企業を攻撃しました。さらに2016年3月に報告された ビジネスメール詐欺の攻撃キャンペーンでは、わずか25米ドルでオンラインで購入できる簡単なキーロガー「Olympic Vision」を用いて、米国、中東、アジア地域の 18社の企業が標的にされました。

2016年3月には、大手企業がビジネスメール詐欺の被害に見舞われ、米国のハードドライブディスク製造メーカ「Seagate」やスマートフォン向けアプリの製造元「Snapchat」といった著名な企業も、簡単なツールを用いる手口のEメール詐欺により被害に遭いました。

ビジネスメール詐欺で使用されたツール
ビジネスメール詐欺で使用されたツール

■ビジネスメール詐欺の脅威から企業を守るために必要なこと

「ビジネスメール詐欺やその他の同様の攻撃がどのように機能するか」について従業員教育の徹底を推奨します。これらの攻撃では高度な技術は用いられません。サイバー犯罪者は、サイバー犯罪アンダーグラウンドで広く入手可能なツールやサービスと乗っ取ったアカウントが 1つあれば、攻撃を実行できます。したがって以下の注意事項を順守し、オンライン上での安全を確実にすることが重要となります。

  • すべての Eメールを注意深く精査すること。不自然なかたちで企業幹部から緊急の送金依頼案件などのメール連絡があった場合は、特に注意すること。この場合、依頼案件が妥当であるか慎重に確認した上で判断することです。
  • 従業員の意識を高めること。従業員は、企業の最も貴重な「資産」ですが、セキュリティに関しては「最も脆弱な侵入経路」となる可能性もあります。従業員へのセキュリティ教育および企業のセキュリティポリシーを徹底し、適切なセキュリティ対策を実践することです。
  • 取引先の支払い情報が変更される場合は、必ず社内の承認プロセスを経るという手順を徹底すること。
  • 支払いの詳細や背景も含め、顧客の動向に常に精通しておくこと。
  • 依頼内容を確認を怠らないこと。送金依頼の場合、メールに記載された電話番号ではなく、いつも使用している電話番号に連絡して、必ず「二段階認証」を行うこと。
  • 被害が確認された場合は、直ちに法執行機関か、もしくは米国インターネット犯罪苦情センター(Internet Crime Complaint Center、IC3)に通報すること。

■ビジネスメール詐欺の各攻撃要素へのセキュリティ対策

Eメール ソーシャルエンジニアリング 不正プログラム
トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」、および「ウイルスバスター ビジネスセキュリティサービス」は、スパムメールを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。 弊社の「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、搭載されている「Deep Discovery E-mail Inspector」によって、不正な添付ファイルや URLリンクをブロックして企業を保護し、システムの感染および情報の窃取を防ぎます。 InterScan Messaging Security Virtual Appliance」は、ソーシャルエンジニアリングを駆使したスパムメール対策およびフィッシング対策などメールに関わる各脅威への対策を実現します。 さらに、情報漏えい対策や、コンプライアンス対応の機能も備え、運用面でもスケーラビリティの高いプラットフォームに簡単に配置でき、集中管理機能で統合的な管理を行えます。総合的なセキュリティを仮想アプライアンス形態で実現するメールセキュリティゲートウェイ製品です。 トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」、および「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。 弊社の「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、関連する不正プログラムを検出し、システムの感染および情報の窃取を防ぎます。