2016年7月、オーストラリアのクイーンズランド州ブリスベン市の市議会が偽の請求書を利用したサイバー犯罪の標的にされました。報道によると、サイバー犯罪者は、取引先の1人になりすまして同市議会に電話やEメールで連絡を取り、45万豪ドル(約3550万円。2016年9月6日現在)をだまし取りました。Graham Quirkブリスベン市長によると、7月から被害が発覚するまで計9回の支払いがサイバー犯罪者になされました。同市長は、米国会計事務所「Deloitte」に調査を依頼しましたが、実施には1ヵ月を要する見込みです。

この詐欺は、海外取引先との定期的な電信送金の支払い業務を狙う手法から、「Business Email Compromise(BEC、ビジネスメール詐欺)」と考えれます。このブリスベン市の事例と同様、こうした詐欺は通常、企業幹部や従業員になりすまし、彼らのアカウントを利用して社内の財務担当者に送金を指示します。

ビジネスメール詐欺では、巧妙な不正プログラムが駆使されるわけではありません。トレンドマイクロでは2015年、ナイジェリア人サイバー犯罪者2人の活動を追跡していました。彼らは、発展途上国の企業を狙って、ビジネスメール詐欺の手法で情報収集や取引傍受を実行し、その際、「HawkEye」と呼ばれるシンプルなキーロガーを活用していました。ブリスベン市の詐欺事例と同様、「HawkEye」による攻撃キャンペーンでも、サイバー犯罪者は取引先や顧客をなりすまし、公表されたメールアドレスにメール連絡していました。

米連邦捜査局(FBI)による最新の統計では、過去2年間のビジネスメール詐欺による被害総額は約31億米ドル(約3210億円。2016年9月6日現在)に達し、世界中で約2万2000社の企業へ被害が及んでいます。2016年3月には多くの企業や組織がビジネスメール詐欺の被害を受け、米国のハードドライブディスク製造メーカ「Seagate Technology PLC」や、スマートフォン向けアプリ開発企業「Snapchat, Inc」、米スーパーマーケットチェーン「Sprouts Farmer’s Market」は、同じ手口のビジネスメール詐欺に遭いました。さらに同月下旬、米サンフランシスコ拠点のソフトウェア企業「Pivotal Software」は、従業員多数の税金関連情報が漏えいするビジネスメール詐欺に遭いました。一連の事例後、同様の詐欺は、個人情報窃取を目的に教育業界にも及び、米バージニア州拠点の教育機関「Tidewater Community College」の従業員3000人が影響を受けました。

[参考: 多額の損失をもたらすビジネスメール詐欺「BEC」]

サイバー犯罪者は窃取した情報を何に利用するのでしょうか。ビジネスメール詐欺のメールや電話で窃取された個人情報は、アンダーグラウンド市場での販売や別の攻撃での活用などといった商品価値があります。上述の事例からも、ビジネスメール詐欺がユーザの心理を突いて金銭や情報を送信させる効果的な手口であることは明らかです。弊社が公開した「2016年上半期セキュリティラウンドアップ」でも、ビジネスメール詐欺の地理的分布および90ヵ国以上の国別被害件数に言及しています。

■ビジネスメール詐欺の脅威から企業を守るために必要なこと

「ビジネスメール詐欺やその他の同様の攻撃がどのように機能するか」について従業員教育の徹底を推奨します。これらの攻撃では高度な技術は用いられません。サイバー犯罪者は、サイバー犯罪アンダーグラウンドで広く入手可能なツールやサービスと乗っ取ったアカウントが 1つあれば、攻撃を実行できます。したがって以下の注意事項を順守し、オンライン上での安全を確実にすることが重要となります。

  • すべての Eメールを注意深く精査すること。不自然なかたちで企業幹部から緊急の送金依頼案件などのメール連絡があった場合は、特に注意すること。この場合、依頼案件が妥当であるか慎重に確認した上で判断することです。
  • 従業員の意識を高めること。従業員は、企業の最も貴重な「資産」ですが、セキュリティに関しては「最も脆弱な侵入経路」となる可能性もあります。従業員へのセキュリティ教育および企業のセキュリティポリシーを徹底し、適切なセキュリティ対策を実践することです。
  • 取引先の支払い情報が変更される場合は、必ず社内の承認プロセスを経るという手順を徹底すること。
  • 支払いの詳細や背景も含め、顧客の動向に常に精通しておくこと。
  • 依頼内容を確認を怠らないこと。送金依頼の場合、メールに記載された電話番号ではなく、いつも使用している電話番号に連絡して、必ず「二段階認証」を行うこと。
  • 被害が確認された場合は、直ちに法執行機関か、もしくは米国インターネット犯罪苦情センター(Internet Crime Complaint Center、IC3)に通報すること。

■ビジネスメール詐欺の各攻撃要素へのセキュリティ対策

Eメール ソーシャルエンジニアリング 不正プログラム
トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」、および「ウイルスバスター ビジネスセキュリティサービス」は、スパムメールを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。 弊社の「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、搭載されている「Deep Discovery E-mail Inspector」によって、不正な添付ファイルや URLリンクをブロックして企業を保護し、システムの感染および情報の窃取を防ぎます。 InterScan Messaging Security Virtual Appliance」は、ソーシャルエンジニアリングを駆使したスパムメール対策およびフィッシング対策などメールに関わる各脅威への対策を実現します。 さらに、情報漏えい対策や、コンプライアンス対応の機能も備え、運用面でもスケーラビリティの高いプラットフォームに簡単に配置でき、集中管理機能で統合的な管理を行えます。総合的なセキュリティを仮想アプライアンス形態で実現するメールセキュリティゲートウェイ製品です。 トレンドマイクロのエンドポイントセキュリティ対策製品「ウイルスバスター クラウド」、「ウイルスバスター ビジネスセキュリティ」、および「ウイルスバスター ビジネスセキュリティサービス」は、不正なファイルを検出し、関連する不正なURLをすべてブロックすることによって個人ユーザおよび中小企業をこの脅威から保護します。 弊社の「Trend Micro Deep Discovery(トレンドマイクロ ディープディスカバリー)」は、関連する不正プログラムを検出し、システムの感染および情報の窃取を防ぎます。

ビジネスメール詐欺に関する詳細は、「企業から金銭をだまし取る、ビジネスメール詐欺「BEC」が増加中」をご参照ください。