投資管理ソフトウェアとサービスを提供する米国ウォール街のIT企業「SS&C Technology(以下、SS&C)」は、「Business Email Compromise(BEC、ビジネスメール詐欺)」により600万米ドル(2016年9月26日時点、約6億480万円)の損失を出した米国政府系投資会社「Tillage Commodities Fund(以下、Tillage Fund)」から訴訟を起こされました。報道によると、2016年9月16日付けの訴訟で、SS&C側が「明らかなサイバーセキュリティの脅威に僅かな注意も払わず、責任を果たさなかった」と陳述されました。この多大な損失によりTillage Fundは業務の一時的停止に陥りました。

この詐欺の詳細は、Tillage Fund側の弁護士事務所がインターネット上に公開した文書に記されています。文書によると、送金依頼メールを受信した際、SS&Cの職員が指定の手順を踏まなかったため、Tillage Fundの資金がサイバー犯罪者の口座へ送信されたようです。さらにTillage Fund側によると、この職員は自社のポリシーにも従っておらず、このために今回の詐欺が引き起こされ、問題ある電子送信が不注意に処理され、サイバー犯罪者に加担する結果を招いたと述べています。

訴状によると、6件の不正取引依頼のうち3件は投資家への送金依頼で資金償還を装っていたようです。しかし、償還に必要な書類をチェックせずに処理したため、偽装は発覚しませんでした。しかも受取人はTillage Fundの投資家ではなく、何の関係もない海外事業者に送金されました。こうした点は容易に確認できたはずですが、見落としを阻止できなかったようです。取引依頼の際の必要書類提出を含め、その他のポリシーも順守されていませんでした。

[参考: 多額の損失をもたらすビジネスメール詐欺「BEC」]

訴状によると、Tillage Fundは米国外へ電子送金したことはなく、2014年から同社の各種電子送金を取り扱っていたSS&C であれば、同社の取引慣例を把握して今回の不自然さに気づくべきだった点も暗に指摘されていたようです。

さらに訴状は「2016年3月3日に届いた最初の詐欺メールは、香港の大手銀行恒生銀行の『Hoaran Technologies』と名乗る企業の口座への送金を指示していた」と陳述しています。そしてSS&C担当職員は、別の職員の協力を得て、香港HSBC銀行を取引先に追加した上で、恒生銀行を送金先に指定する修正を行ないました。この修正が却下された際も、同担当職員は、詐欺メール送信者にその旨を伝え、さらに香港HSBC銀行の「Away Technologies」と名乗る企業の口座に直接振り込む指示も受けていたようです。

従業員は最も脆弱な侵入経路か?

Tillage Fundは「ビジネスメール詐欺」の被害に見舞われたと考えられます。ビジネスメール詐欺は、海外と取引する企業や、電信送金で定期的に支払いする企業を狙った詐欺です。米連邦捜査局(FBI)の統計では、過去約2年間でビジネスメール詐欺による被害総額は約31億米ドル(約3118億円。2016年9月26日現在)に達し、世界中で約2万2千の企業へ被害が及んでおり、被害件数は増加し続けています。2016年3月には多くの企業や組織がビジネスメール詐欺の被害を受け、米国のハードドライブディスク製造メーカ「Seagate Technology PLC」や、スマートフォン向けアプリ開発企業「Snapchat, Inc」、米スーパーマーケットチェーン「Sprouts Farmer’s Market」が同じ手口のビジネスメール詐欺に遭いました。一連の事例後、同様の詐欺は、個人情報窃取を目的に教育業界や政府機関にも及び、甚大な影響を与えています。

今回の詐欺事例の場合、Tillage Fundは、ビジネス詐欺メールの被害者だけでなく、取引先の過失による被害者でもありました。この過失は防ぐことができたはずです。結果としてSS&C職員の人的ミスにより、Tillage Fundは多大な金銭的損失を被ることになりました。知識不足や不注意といった人的過失がビジネスメール詐欺やその他のソーシャルエンジニアリングの手法が横行する要因になっています。こうした要因により、サイバー犯罪者は巧妙なツールや手法を利用することなく、簡単にシステムに侵入することができます。

過去の事例から、従業員は企業の最も貴重な資産である一方、セキュリティに関しては「最も脆弱な侵入経路」であることが分かります。セキュリティは主にIT部門の管轄ですが、従業員も防御の最前線といえます。従業員へのセキュリティ教育とトレーニングを徹底し、潜在的な脅威に対して注意喚起していくことです。以下はビジネスメール詐欺を回避するための注意事項です。

  • すべての Eメールを注意深く精査すること。不自然なかたちで企業幹部から緊急の送金依頼案件などのメール連絡があった場合は、特に注意すること。この場合、依頼案件が妥当であるか慎重に確認した上で判断することです。
  • 従業員の意識を高めること。従業員は、企業の最も貴重な「資産」ですが、セキュリティに関しては「最も脆弱な侵入経路」となる可能性もあります。従業員へのセキュリティ教育および企業のセキュリティポリシーを徹底し、適切なセキュリティ対策を実践することです。
  • 取引先の支払い情報が変更される場合は、必ず社内の承認プロセスを経るという手順を徹底すること。
  • 支払いの詳細や背景も含め、顧客の動向に常に精通しておくこと。
  • 依頼内容を確認を怠らないこと。送金依頼の場合、メールに記載された電話番号ではなく、いつも使用している電話番号に連絡して、必ず「二段階認証」を行うこと。
  • 被害が確認された場合は、直ちに法執行機関か、もしくは米国インターネット犯罪苦情センター(Internet Crime Complaint Center、IC3)に通報すること。

トレンドマイクロの対策

適切なセキュリティの心構えに加えて、トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド™」、「ウイルスバスター™ ビジネスセキュリティ」、および「ウイルスバスター™ ビジネスセキュリティサービス」は、不正なファイルやスパムメールを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。弊社の「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、関連する不正プログラムを検出し、システムの感染および情報の窃取を防ぎます。

また、搭載されている「Deep Discovery™ Email Inspector」によって、不正な添付ファイルや URLリンクをブロックして企業を保護し、システムの感染および情報の窃取を防ぎます。「InterScan Messaging Security Virtual Appliance™」は、ソーシャルエンジニアリングを駆使したスパムメール対策およびフィッシング対策などメールに関わる各脅威への対策を実現します。さらに、情報漏えい対策や、コンプライアンス対応の機能も備え、運用面でもスケーラビリティの高いプラットフォームに簡単に配置でき、集中管理機能で統合的な管理を行えます。総合的なセキュリティを仮想アプライアンス形態で実現するメールセキュリティゲートウェイ製品です。