ビジネスメール詐欺:新たなターゲットを見つけた昔ながらの脅威

ビジネスメール詐欺またはBECは、古くからある「ナイジェリアの王子」詐欺を根本からより洗練させた現代版と言えるでしょう。FBIによれば、米国ビジネスは2019年にビジネスメール詐欺によって17億ドルを損失しました。この数値は、FBIに報告されたケースだけを表しています(実際の数値はさらに高くなると推測されます)。損失の多くは回復されますが、全く回復できない被害者も21パーセント存在します。

かつて大企業に焦点を当てていたハッカーは、技術的な面でも財政的な面でも大企業に比べて攻撃対策がはるかに乏しい中小企業を狙うようになってきました。インシデント対応から回復まで、大企業にはビジネスメール詐欺に素早く対応できる武器があります。しかし、中小企業(中でも比較的小規模な部類の企業)にはそのような贅沢はありません。

中小企業へのビジネスメール詐欺について詳しく触れる前に、世間の注目を集めた大企業への攻撃の例をいくつか取り上げてみましょう。

Mattelが被ったBECによる300万ドルの損失

2015年にMattelは、ハッカーが人事異動を悪用したビジネスメール詐欺で300万ドルを損失しました。新しいCEOになりすましたハッカーは、Mattelの財務担当幹部にメールを送信し、中国の業者に電信送金をするように依頼しました。Mattelは中国でビジネスを発展させていたため、この電信送金は理にかなっているように見えました。しかもそれは新しいCEOからの依頼であったため、その財務幹部はその依頼に飛びつきました。

報告によれば、そのハッカーは、金銭取引を実行する権限のある幹部を見つけるためにソーシャルメディアやその他のソースを調べるなど、攻撃の一部として入念な下調べをしていました。Mattelにとって幸いなことに、その送金日は中国の銀行休業日であったため、Mattelはその攻撃を報告して、資金がハッカーの手に渡るのを阻止する時間を得ることができました。

日経が被った2900万ドルのベンダー詐欺攻撃

2019年、日本のメディア企業である日経の米国社員は、日経のベンダーになりすましたハッカーに2900万ドルという驚くべき金額を送金しました。このビジネスメール詐欺の新たなスタイルは、ベンダーメール詐欺という名で知られています。この詐欺では、まずベンダーのメールが侵害され、その後それを使って顧客やクライアントにメールを送信します。ハッカーが侵害されたメールアドレスを使用した場合、被害者はその支払い要求を疑う理由はありません。

前述の例で注目すべきことは、すべてに多額の送金が伴うということです。言い換えれば、前述の金銭取引はどれも長期間気づかれずに済むことが非常に難しいでしょう。これこそまさにFBIが高い回復率を保持している理由です。迅速な報告は迅速な対応と回復を可能にします。

当局の迅速な対応率に対抗するために、ハッカーはより規模の小さなターゲット(つまり中小企業)を狙うようになり、段階的に少額の金銭を要求するようになりました。これにより、これらの取引は比較的長い期間検出されずに済むようになり、ハッカーは口座を空にして次のターゲットに移る時間を得られるようになりました。

以下は、中小企業が注意すべきビジネスメール詐欺の手口の3つの例です。

電信送金

電信送金詐欺で最もよく使われる形式は、CEO詐欺 の名で知られており、この詐欺でハッカーは、重役のメールアドレスになりすまして従業員に電信送金をするように依頼します。ハッカーは、ベンダーへの支払いや不動産の前金の支払い、または大量購入をするように従業員に依頼します。

これらの電信送金詐欺は今も蔓延していますが、中小企業への攻撃では通常要求金額が少額であるのが特徴です。これにより、ハッカーが成功する可能性が2つの理由で高まります。第一に、これによって危険信号が発せられることはなく、しかも被害者はその依頼に疑問を持ったり、誰かに警告したりする可能性もないでしょう。第二に、少額の送金は長期間気づかれずに済むことがあります。

最後に、侵害された内部のメールアカウントからの電信送金依頼は増大しつつある脅威です。ハッカーは、フィッシングメールを使ってMicrosoft 365のようなプラットフォームへのアクセス権を入手してから、侵害されたアカウントを使って従業員にメールを送信します。この種の攻撃の一例として、2019年に起きたオハイオ州ブランスウィック市セントアンボワーズカトリック教区への攻撃があります。ハッカーは侵害されたMicrosoft 365アカウントからメールを送信して、ベンダー(建設業者)を装い、未払いの修繕費用を支払うように要求しました。従業員が170万ドルをハッカーに送金すると、そのハッカーは直ちにその金を他の口座に移しました。

納税申告書詐欺

ビジネスメール詐欺は必ずしも金銭に関わるものだとは限りません。ハッカーは、後で攻撃を仕掛ける際に使える機密情報にも興味を持っています。米国の確定申告フォームであるW-2は、ハッカーがアカウントを作成したり、不正な納税申告書を提出したり、払い戻しを受けたりするために使用できる多数の個人データが掲載された人気の高い文書です。

W-2やその他の税申告フォームを入手するために、ハッカーは従業員になりすまして人事や経理担当スタッフにスピアフィッシングメールを送信し、その従業員のW-2やその他の税申告フォームを依頼します。これは税申告時期にとりわけ成功する詐欺です。というのも、人事や経理担当スタッフは、その時期になると多忙で注意散漫になりがちなだけでなく、従業員たちから税金についての質問が殺到します。そのため、この依頼はごく当たり前のことにように思われるのです。

口座振込/給与転送詐欺

FBIによれば、ビジネスメール詐欺で最も急増しているのは、給与をハッカーの口座に転送することによる給与転送または口座振込詐欺です。たいていの場合、ハッカーは従業員になりすまして人事部のスタッフにメールを送信し、次の給与振り込みまでに振込先の銀行口座を変更するように依頼します。

メールは短くて要領を得ていますが、プリテキスティングが含まれているものや被害者が依頼に応じやすくするために一連のメールのやり取りが行われる場合もあります。中には、幹部などの地位の高い従業員になりすまして、人事部のスタッフに圧力をかけるハッカーもいます。FBIによると、給与転送詐欺のほとんどのケースで被害者の給与はプリペイドカード口座に振り込まれます。

ビジネスメール詐欺の予防

フィッシングメールと異なり、スピアフィッシングメールは通常テキストのみで構成されており、スキャンできるリンクもメールフィルターが検出できるその他の特定要素となるものも含まれていません。

そのため、プリテキスティングやソーシャルエンジニアリングから高額な金銭の要求に至るまで、スピアフィッシングの兆候を見抜くためにユーザーはトレーニングを受ける必要があります。ユーザーがスピアフィッシングメールに反応してしまった時は、行動を改められるようにすぐに再トレーニングを受講させましょう。

従業員が十分トレーニングを受けていたとしても、今日のハッカーは十分な下調べをしてから攻撃を仕掛け、被害者を安心させて普通ではない要求を普通に見せることに長けているので危険です。これを解決するためには、金銭取引と電信送金の依頼を確認する手続きを確立することが必要です。

  • コールバック手順や直接の確認などの金銭取引を処理するための書面による手続きと手順を確立しましょう。
  • 直接ベンダーに連絡して金銭取引のメール依頼を確認しましょう。
  • 金銭取引の実行を許可されている従業員の数を限定しましょう。

最後に、現在お使いのスピアフィッシング対策ソリューションを脅威がすり抜けてしまうのならば、なりすまし検出を上回る機能を備え、緊急の金銭的な依頼などの悪意のある行動をスキャンできるソリューションの導入を検討しましょう。DMARCは完全一致のなりすましを検出できますが、より洗練されたなりすまし技術を検出するのは困難です。

Vade for Microsoft 365は、組織のメールトラフィック上の特異なパターンを特定する異常検出機能とメールのテキストを分析する自然言語処理を使います。この二つが一体となって、表示名のなりすましやカズンドメイン、プリテキスティングや金銭取引の依頼などのスピアフィッシングのテキスト上の兆候を検出します。スピアフィッシングが検出されると、Vade for Microsoft 365は、警告バナーを表示してユーザーに注意を促し、メールを見直して手続きを続行すべきかどうか判断する時間を与えます。