世界中で被害が拡大する ビジネスメール詐 …2017/03/22 · bec...
TRANSCRIPT
世界中で被害が拡大する
ビジネスメール詐欺(BEC)の脅威
提供:トレンドマイクロ株式会社
はじめに ..................................................................... 3
1. BEC とは? ............................................................. 3
2. BEC の代表的な手口 ................................................. 4
タイプ 1:経営幹部になりすまし、偽の送金指示メールを送る ....... 4
タイプ 2:取引先になりすまし、偽の請求書を送る ................... 5
タイプ 3:メールアカウントを侵害し、偽の支払い依頼メールを送る .. 6
タイプ4:弁護士になりすまして、偽の送金指示を連絡する ......... 6
タイプ5:メールアカウントを侵害し、標的組織の従業員・幹部の
個人情報を窃取........................................................ 7
3. BEC における業務メールの盗み見..................................... 7
フィッシングメールによる業務メールの盗み見 ........................... 8
キーロガーを用いた業務メールの盗み見 ............................... 8
4. BEC で多用される役職・狙われる役職 ............................... 9
BEC のなりすましメールに多用される役職 ............................. 9
BEC の詐欺メールに狙われやすい役職 ..............................10
BEC のなりすましメールの例 ...........................................11
5. BEC の被害状況 ......................................................12
6. BEC への対策 .........................................................15
送金処理に関する社内整備 .........................................15
従業員に対する教育 ..................................................15
トレンドマイクロ製品による対策 .......................................16
TREND MICRO | Research Paper
3
ビジネスメール詐欺(BEC)の脅威
はじめに
2016 年にはトレンドマイクロが予測したとおり1、身代金要求型不正プログラム「ランサムウェア2」が世界
中で猛威を振るい、重要なデータと引き換えに個人・法人が身代金を要求される被害が急増しました。
ランサムウェアの攻撃総数が増加しただけでなく、新しい機能を搭載した新たなファミリー数も膨れ上がる
など、ランサムウェアの脅威が凶悪化した一年だったと言えるでしょう。
しかしながら、そうしたランサムウェアの影に隠れ、法人組織に甚大な被害を及ぼす新たな脅威が全世界
に拡大しています。この脅威は「ビジネスメール詐欺:Business Email Compromise(以下、
BEC)」と呼ばれ、日本国内ではまだ認知は低いものの、米国連邦捜査局:Federal Bureau of
Investigation(以下、FBI)からは既にその被害の深刻さが公表されています。FBI の公表によれば、
BEC の総被害額は約 30 億米ドル(約 3,400 億円)に達しており、2013 年から 2015 年までの間
に少なくとも 79 ヶ国、2 万 2,000 件の被害が報告されています。これは BEC による 1 件当たりの平均
被害額が約 14 万米ドル(約 1,600 万円)にのぼることを意味しており、ランサムウェアと比較しても、
BEC がサイバー犯罪者にとって高額な収益を得ることができる都合の良い手口であることが分かります。こ
うしたことから、トレンドマイクロでは、2017 年にはより多くのサイバー犯罪者が BEC に注目し、その被害
も増加すると予測しています3。現在のところ、日本ではまだ目立った被害は報道されていませんが、今後
日本でも増加することが予測されるため、日本国内の法人組織では BEC の脅威を理解し、対策を実
施していく必要があるでしょう。
本資料では、新たな脅威 BEC がどういったものか、その手口や最新の被害状況について解説するととも
に、法人組織が検討すべきセキュリティ対策について紹介していきます。
1. BEC とは?
BEC は法人組織の従業員を騙し、不正な送金処理を実施させる詐欺の手口です。一般的な詐欺と
異なるのは、サイバー犯罪者は標的とする法人組織の業務メールを盗み見ることで、標的組織の情報を
入手し、その情報を悪用して非常に巧妙な手口で騙してくる点です。そのため、トレンドマイクロでは BEC
を「業務メールの盗み見を発端とした送金詐欺」の総称と定義しています4。
法人組織の業務メールを盗み見るため、サイバー犯罪者はフィッシングメールを送りつけて標的のメールア
カウントの認証情報を窃取しようと試みたり、「キーロガー」等の不正プログラムを送りつけて標的のメール
情報を盗み出そうとします。後者の方法は標的型サイバー攻撃の手段と同様ですが、そうして上手く盗み
※註:本レポートに掲載される通貨の換算レートは、本レポートの執筆時点 2017 年 2 月のレートです
1 http://www.go-tm.jp/pred2016 2 http://www.trendmicro.co.jp/jp/security-intelligence/threat-solution/ransomware/index.html 3 http://www.go-tm.jp/pred2017 4 https://www.ic3.gov/media/2016/160614.aspx FBI では「BEC は海外取引先と電信送金を介して支払する企業を標的とした巧妙な詐欺である。その手口は、偽の送金処理を目的に、ソーシャルエンジニアリング攻撃や コンピュータへのハッキングによって正規のメールアカウントを侵害して行われる。」と定義しています
TREND MICRO | Research Paper
4
ビジネスメール詐欺(BEC)の脅威
出した情報を基に、標的にソーシャルエンジニアリング5の攻撃を仕掛け、最終的に不正な送金処理を行
わせるのです。この業務メールの盗み見にはハッキングスキル等が必要となるケースもありますが、それでも、
ランサムウェアや標的型サイバー攻撃といった高いコンピュータ技術で構成されるような脅威と比べても、
BEC の手口は比較的シンプルと言えるでしょう。そしてやはり、このサイバー犯罪でも多用され、法人組織
にとって最も大きな脅威となるのはソーシャルエンジニアリングによる攻撃です。サイバー犯罪者は、ソーシャ
ルエンジニアリングの攻撃を駆使し、あらゆる手を使って標的組織を巧みに騙すことで、数千万円におよぶ
送金詐欺を成功させます。
それでは、BEC で用いられる手口として代表的な 5 つのタイプを見ていきましょう6。一般的な詐欺の手
口がそうであるように、BEC というサイバー攻撃の認知が広がることで、その手口も今回紹介するタイプと
は異なる様々なものが出てくることが考えられます。法人組織ではまず、次の基本的な手口をしっかりと理
解し、自組織のセキュリティ意識を高めていくことが重要です。
2. BECの代表的な手口
BEC で用いられる代表的な手口の一つが、法人組織に送られてくる偽の送金指示、または送金先変更
のメールです。これは BEC の典型的な手口ですが、一見すると通常の業務メールと見分けがつかないよう、
巧妙に作りこまれた場合が多く、不審なリンクや不正プログラムが添付されていないため、従来のメールセ
キュリティ対策製品でも検知・ブロックが難しい脅威となっています。それでは、こうした手口を含め、基本
的な 5 つのタイプについて解説していきます。
タイプ 1:経営幹部になりすまし、偽の送金指示メールを送る
サイバー犯罪者が最高経営責任者(以下、CEO)といった法人組織内の経営幹部を装い、財務
部門の担当者に偽の送金指示メールを送る手口です。このタイプには、財務部門の担当者に代わり、
金融機関に直接偽の送金指示を依頼する手口もあります。この偽の送金指示メールには、あらかじめ
サイバー犯罪者が盗み見た業務メールの情報が悪用されており、その内容は非常に巧妙です。その上、
CEO 等の組織の上層部からの指示を装うことで、現場担当者の冷静な判断を狂わせる狙いも含ま
れています。
5 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Social+Engineering+in+Targeted+Attacks 6 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Billion-Dollar+Scams%3A+The+Numbers+Behind+Business+Email+Compromise
TREND MICRO | Research Paper
5
ビジネスメール詐欺(BEC)の脅威
図 1:経営幹部になりすまし、偽の送金指示メールを送る手口
トレンドマイクロでは、国内製造業において、社長を装った BEC の疑いがあるメールを確認しています。
この企業の社長のメールアドレスから同社の財務担当の幹部に対して送られたものでしたが、日本人
同士のメールにも関わらず件名が英語で緊急を意味する「Urgent(ASAP)」となっており、また返
信先として指定されているメールアドレスには CEO を想起させる Gmail のアドレスが設定されていまし
た。このケースでは、社長の正規のメールアドレスから送信されていたため、サイバー犯罪者によって何ら
かの手法で社長のメールアカウントが乗っ取られていたものと考えられます。
仮に財務担当の幹部がこのメールに対して返信ボタンを押した場合、当然ながら Gmail アドレス宛の
メールが作成されます。おそらくサイバー犯罪者は、Gmail アドレスを使って財務担当の幹部とその後
やり取りを行い、どこかのタイミングで偽の送金指示などの詐欺行為を仕掛けようとしていたのではないか
と推測されます。こうした手口も経営幹部を装った手口でしばしば用いられます。
タイプ 2:取引先になりすまし、偽の請求書を送る
サイバー犯罪者が、標的とする法人組織と別の組織の間で行われるやり取りを装い、偽の請求書を送
る手口です。サイバー犯罪者は業務メールを盗み見ることで、標的とする法人組織の間でどのようなビ
ジネスが進行しているのかを確認し、取引を終える頃合いを見て、請求書の支払い先住所や送金先
を別の偽口座に変更するよう電話、FAX、メールなどによって連絡します。ビジネスのやり取りの延長線
上でこうした詐欺が行われるため、担当者は安易にその内容を信じ込んでしまい、偽の送金処理を実
施してしまいます。この手口では法人組織間で金銭的な被害が発生するだけでなく、今後のビジネス
の継続や組織間の信頼関係にも悪影響が生じる恐れがあります。
図 2:取引先になりすまし、偽の請求書を送る手口
TREND MICRO | Research Paper
6
ビジネスメール詐欺(BEC)の脅威
この手口では、後日請求した側からの未払いの連絡などによって BEC の被害が発覚します。主にメー
ルでのやり取りが多くなる海外との取引等が BEC で狙われるおそれがあるため、海外と取引がある法
人組織では注意が必要です。
タイプ 3:メールアカウントを侵害し、偽の支払い依頼メールを送る
サイバー犯罪者が標的組織の従業員のメールアカウントを乗っ取り、そのメールアカウントに登録されて
いる取引先に対して偽の支払い依頼メールを送る手口です。この手口では、サイバー犯罪者によってメ
ールアカウントが乗っ取られ、正規のメールアカウントから取引先に対して詐欺メールが送られるため、受
信者側でメールの真偽を判断することは難しく非常に厄介な手口です。タイプ2と同様、この手口では
法人組織間で金銭的な被害が発生するだけでなく、今後のビジネスの継続や組織間の信頼関係に
も悪影響が生じる恐れがあります。
図 3:メールアカウントを侵害し、偽の支払い依頼メールを送る手口
この手口では、後日取引先とのやり取りなどによって BEC の被害が発覚します。クラウドメールサービス
を業務メールに使用している組織では、フィッシングメールによってメールアカウントの認証情報を盗まれ、
メールアカウントを乗っ取られる可能性があります。組織規模を問わず、最近では業務メールにクラウド
メールサービスを利用している法人組織も多く、そうした組織ではこうした BEC の手口に注意する必要
があるでしょう。
タイプ4:弁護士になりすまして、偽の送金指示を連絡する
サイバー犯罪者が弁護士または弁護士事務所の代表を装い、標的組織の CEO や財務部門の担
当者等に偽の送金指示を連絡する手口です。サイバー犯罪者はあらかじめ盗み見た業務メールの情
報を用いて、巧みに標的組織を騙そうと偽の送金指示を仕掛けてきます。その上、連絡を受けた側に
緊急を要する機密案件である旨伝えてくるなど、送金を早急かつ秘密裏に行わなければいけないとい
うプレッシャーを与えてきます。また、早く帰宅して休みたいといった心理的な弱みを突く意図で、この手
口は就業時間の終了間際や週の終わりなどで実行されます。
TREND MICRO | Research Paper
7
ビジネスメール詐欺(BEC)の脅威
図 4:弁護士になりすまして、偽の送金指示を連絡する手口
タイプ5:メールアカウントを侵害し、標的組織の従業員・幹部の個人情報を窃取
サイバー犯罪者が標的組織の従業員のメールアカウントを乗っ取り、そのメールアカウントを悪用するこ
とで組織の従業員・幹部の個人情報を窃取する手口です。この手口では、サイバー犯罪者が人事担
当など特定の任務を担っている従業員のメールアカウントを利用し、送金依頼ではなく個人情報の窃
取を目的としたメールを送ってきます。
図 5:メールアカウントを侵害し、標的組織の従業員・幹部の個人情報を窃取する手口
サイバー犯罪者に狙われる個人情報には、米国の源泉徴収票である W-2 等が含まれているケース
も確認されており、こうして窃取された個人情報はその後行われる BEC の攻撃キャンペーンに利用さ
れます。
ここまで解説した基本的な 5 つのタイプの手口からも分かるとおり、BEC ではなりすましによる偽の送金指
示メール、支払い依頼メール等が多用されています。こうしたなりすましメールの多くは件名が「Transfer」、
「Request」、「Urgent」、「Transfer Request」等のシンプルかつ具体性がないものであるにも関わら
ず、実際に世界中で多くの法人組織が BEC の被害に遭っています。
BEC では、サイバー犯罪者が標的組織の業務メールを盗み見ることで、その情報を上手く利用し、標的
を巧妙に騙します。こうした業務メールを盗み見るため、サイバー犯罪者はどのような攻撃を仕掛けてくる
のでしょうか。
3. BEC における業務メールの盗み見
BEC の特徴の一つである業務メールの盗み見については、今後もサイバー犯罪者が様々な手口を用い
てくることが予測されます。現在、BEC の被害事例については、その詳細が公表されるケースが少なく、ま
だ明るみになっていない手口が存在する可能性はありますが、今回業務メールの盗み見に用いられる手
口として代表的な 2 つを紹介します。
TREND MICRO | Research Paper
8
ビジネスメール詐欺(BEC)の脅威
フィッシングメールによる業務メールの盗み見
業務メールにクラウドメールサービスを利用している法人組織が標的とされた場合、サイバー犯罪者が
標的組織の従業員にフィッシングメールを送り、メールアカウントの認証情報を窃取する手口が考えら
れます。例えば、IT 管理者等を装ったサイバー犯罪者が標的となる従業員にフィッシングメールを送り、
偽のクラウドメールサービスのログイン画面を表示してログインさせることで認証情報を窃取します。それ
以降は窃取した認証情報を使ってログインし、従業員のメールを盗み見ることが可能となります。また、
それだけでなく、そのメールアカウントを悪用し、さらに巧妙な BEC の攻撃を仕掛けることもできるでしょ
う。
図 6:クラウドメールサービスの認証情報を窃取しようとしたフィッシングサイトの例
キーロガーを用いた業務メールの盗み見
2014 年に起きた BEC 事例では、標的組織の従業員のメールアカウントを侵害するために、サイバー
犯罪者が「Predator Pain」、「Limitless」と呼ばれるキーロガーを添付したメールを送っていたことが
確認されています。サイバー犯罪者は、ビジネスのやり取りを装ってこうしたメールを送信し、キーロガーに
感染させることでメールアカウントを侵害し、標的組織の内部情報等を入手していました。
また、2015 年にはキーロガー「HawkEye」が BEC で利用されています。当初、サイバー犯罪者は標
的組織の従業員に簡単な問合せメールを送信し、その後メールのやり取りを複数回行った後で、最終
的にキーロガーを添付したメール送りつけ感染させる手口を用いていました。この事例からは、BEC の
手口を用いるサイバー犯罪者が、用意周到に標的組織を狙ってきていることが分かります。
TREND MICRO | Research Paper
9
ビジネスメール詐欺(BEC)の脅威
こうしたキーロガーは闇市場で安価で販売されており、2016 年 3 月の BEC キャンペーンで用いられ
たキーロガー「Olympic Vision」は、わずか 25 米ドル(約 3,000 円)で購入できるものでした7。
サイバー犯罪者は、今後も標的組織のメールアカウントを侵害するための手頃なツールとしてキーロガー
を利用してくるでしょう。
表1:BEC キャンペーンで利用された主なキーロガー名と価格
BEC はこうした手口で盗み見た業務メールの情報を悪用するだけでなく、CEO や取引先になりすますこ
とで、法人組織を巧みに陥れる深刻な脅威です。それでは、次に BEC の犯罪手口の中で、なりすましに
多用される役職と BEC の詐欺メールによって狙われやすい役職について見ていきましょう。
4. BECで多用される役職・狙われる役職
BEC では、標的組織の従業員、取引先等を騙すためにソーシャルエンジニアリングの攻撃が用いられます
が、その中でも効果的なものの一つが標的を心理的に追い詰めるなりすましメールです。こうした BEC の
なりすましメールでは、サイバー犯罪者が誰になりすますか、誰を狙って送るかによって、高額な送金詐欺
の成功が左右されてきます。トレンドマイクロが 2016 年に実施した調査から、実際に BEC のなりすまし
メールに多用される役職と BEC の詐欺メールに狙われやすい役職が明らかになりました8。
BECのなりすましメールに多用される役職
BEC のなりすましメールに最も多用される役職は CEO となっています。例えば、サイバー犯罪者が標
的組織を狙い、財務部門の担当者を騙して偽の送金処理を実施させる場合、CEO といった幹部に
なりすますことで、担当者に心理的なプレッシャーを与え、正規の送金プロセスを省略させることができる
かもしれません。組織のトップを装うことで、ソーシャルエンジニアリングの攻撃で標的を騙す、従わせるこ
とが容易になるため、CEO といった役職が最もなりすましに多用されていると考えられます。
7 http://about-
threats.trendmicro.com/relatedthreats.aspx?language=jp&name=Olympic%20Vision:%20Business%20Email%20Compromise%20Campaign%20Targets%20Companies%20in%20US,%20Middle%20East%20and%20Asia 8 http://about-threats.trendmicro.com/RelatedThreats.aspx?language=jp&name=Billion-Dollar+Scams%3A+The+Numbers+Behind+Business+Email+Compromise
BEC キャンペーン時期 キーロガー名 価格
2014 年 11 月 Predator Pain 40 米ドル
2014 年 11 月 Limitless 40 米ドル
2015 年 6 月 HawkEye 35 米ドル
2016 年 3 月 Olympic Vision 25 米ドル
TREND MICRO | Research Paper
10
ビジネスメール詐欺(BEC)の脅威
図 7:BEC のなりすましメールに用いられた役職(2016 年上半期セキュリティラウンドアップ9)
BECの詐欺メールに狙われやすい役職
BEC の詐欺メールによって最も狙われやすい役職は最高財務責任者(以下、CFO)となっています。
BEC では、サイバー犯罪者は最終的に標的組織を騙して偽の送金処理を実施させる必要があります。
そうした場合、必然的にその組織の中でも送金業務等にある程度の権限を持った人物が BEC の標
的となってきます。そのため、トレンドマイクロの調査でも、BEC の詐欺メールによって狙われた役職の多
くが財務、会計に関係するものでした。特に緊急を要する機密案件といった送金依頼を受ける可能性
があり、かつ送金処理を行うための十分な権限を要している CFO がサイバー犯罪者の標的にされやす
いことが分かります。
図 8:BEC のなりすましメールに狙われた役職(2016 年上半期セキュリティラウンドアップ 9)
9 http://www.go-tm.jp/sr2016h1
TREND MICRO | Research Paper
11
ビジネスメール詐欺(BEC)の脅威
BECのなりすましメールの例
こうして CEO になりすまして、CFO 宛てに詐欺メールを送ってくる場合、どのようなメールが送られてくる
のでしょうか。現在は、BEC メールの多くが英語によるものですが、他の脅威同様にいずれ日本語で書
かれたものが出てくることは時間の問題です。ここでは、BEC のメールが日本語で記載されていた場合、
どのようななりすましメールが送られてくる可能性があるのか、BEC のメールに見られる特徴的なポイント
をご紹介します。
図 9:日本語で記載された場合に想定される BEC のなりすましメールの例
BEC に多用される役職、狙われる役職では、CEO、CFO と法人組織の幹部が目立つ結果となりました。
これには前述のような理由のほか、CEO や CFO といった役職者については、インターネット上から氏名を
含む個人情報の収集が比較的容易であり、サイバー犯罪者にとってもなりすましやすく、狙いやすいという
のも一つの要因ではないかと推測されます。
BEC の代表的な手口、その中で用いられるなりすましメールについて解説してきましたが、次に実際にこう
した BEC の被害事例にはどのようなものがあり、全世界でどのようにその被害が拡大しているのかを見て
いきましょう。
TREND MICRO | Research Paper
12
ビジネスメール詐欺(BEC)の脅威
5. BECの被害状況
BEC は一度の成功で高額な金銭が得られるサイバー犯罪者にとって都合の良い手口の一つです。現在、
BEC は世界中で被害が報告されるほどの大きな脅威となり、2017 年にその脅威は増加すると予測され
ています。ここでは、これまでに報道された主な BEC 被害事例を振り返るとともに、トレンドマイクロの調査
で浮き彫りとなった BEC の脅威状況をご紹介します。
10 http://www.omaha.com/money/impostors-bilk-omaha-s-scoular-co-out-of-million/article_25af3da5-d475-5f9d-92db-52493258d23d.html 11 http://www.nbcnews.com/tech/security/ubiquiti-networks-says-it-was-victim-47-million-cyber-scam-n406201 12 http://www.bizjournals.com/atlanta/blog/atlantech/2015/09/atlantas-bitpay-got-hacked-for-1-8-million-in.html 13 http://blog.centrify.com/ceo-fraud-business-email-compromise/ 14 http://www.csoonline.com/article/3058216/social-engineering/ceo-targeted-by-fraud-twice-a-month.html 15 http://www.bbc.com/news/business-35250678
発覚/報道日 被害組織 内容
2015 年 2 月 Omaha’s Scoular10
2014 年6月、CEO と外部の監査企業を装った偽の送金指示メ
ールを幹部が受信。中国の銀行への送金指示メールに騙され、
1,720 万米ドルの被害が発生
2015 年 8 月 Ubiquiti Networks11
財務部が、社員を装った偽のリクエストを受信。その結果、香港の
子会社が保有する 4,670 万米ドルを第三者の海外口座に送金
し、損失が発生
2015 年 9 月 Atlanta’s Bitpay12
2014 年 12 月、CFO が仮想通貨発行の関係者と称する人物か
らメールを受け取った(送信者のメールアカウントは乗っ取られてい
た。)。CFO はそのメールでフィッシングサイトに誘導され、自身のメ
ールアカウントの認証情報をサイバー犯罪者に窃取された。サイバー
犯罪者は、CFO を装い、CEO 宛てに総額 180 万米ドルにおよぶ
偽の送金依頼メールを複数回に渡って送信
2015 年 10 月 Centrify13
2014 年 2 月、CFO を装った偽の送金指示メール(送金額は約
3600 万米ドル)を会計責任者が受信。メールの内容には、CEO
と CFO が送金について議論している内容が含まれており、巧妙な
偽装メールだった14
2016 年 1 月 Etna Industrie15
CEO の外出中、会計担当者が「CEO から極秘送金の指示メール
を送るから、指示に従うように。」という電話連絡を外部から受けた。
その後、会計担当者はメール( メールアドレスには CEO の名前が
TREND MICRO | Research Paper
13
ビジネスメール詐欺(BEC)の脅威
16 http://www.brusselstimes.com/belgium/4944/belgian-bank-crelan-hit-by-a-70-million-eur-fraud 17 http://www.computerworld.com/article/3052891/security/business-email-scams-have-led-to-23b-losses.html 18 http://www.reuters.com/article/us-facc-ceo-idUSKCN0YG0ZF 19 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/snapchat-employees-fell-for-a-phishing-scam-here-s-how-they-responded 20 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/seagate-employees-face-possible-tax-fraud-in-recent-phishing-attack 21 http://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/phishing-scam-tax-data-supermarket-chain-21000-employees 22 http://www.brisbanetimes.com.au/queensland/fraudsters-steal-450000-from-brisbane-city-council-in-elaborate-scam-20160815-gqt2tv.html 23 https://www.leoni.com/en/press/releases/details/leoni-targeted-by-criminals/ 24 https://www.trendmicro.com/vinfo/us/security/news/cybercrime-and-digital-threats/6m-lost-in-another-bec-scam-who-is-the-weakest-link
入っていた。)を受信し、法律系コンサルタントと名乗る人物から電
話を受け指示通りに送金業務を行った。被害額は、10 万ユーロで
あった
2016 年 1 月 Crelan bank16 ベルギーでは銀行が BEC と類似の攻撃の被害に遭い、約 7,000
万ユーロの損失が発覚17
2016 年 1 月 FACC18
CEO を装った偽の買収計画に関するメールが社員に送信された。
詳細は公表されていないが、CEO は規則違反として厳しく処罰さ
れ、2 月に CFO が解雇された。被害見込額は、4,700 万米ドル
におよぶ
2016 年 2 月 Snapchat19
CEO を装ったメールを従業員が受信。サイバー犯罪者はこのメール
で従業員の給与情報を窃取し、その後、窃取した情報を外部に公
開
2016 年 3 月 Seagate20 CEO を装ったメールを従業員が受信。メールは従業員の W-2 情
報に関するものであり、数千人の従業員の個人情報が窃取された
2016 年 3 月 Sprouts21
幹部を装ったメールを給与関連の業務を担当している部署が受
信。メールは、職員の W-2 情報に対するアクセス権の付与を依頼
するものだった。サイバー犯罪者は付与された権限を悪用し、2 万
1,000 件の税金に関するデータを窃取
2016 年 8 月 Brisbane Council22 オーストラリアのブリスベン協議会が、取引業者を装った電話および
メールによる詐欺に遭い、約 45 万豪ドルの損失が発生。
2016 年 9 月 LEONI AG23
2016 年 8 月、ルーマニアの事業所で CFO を務めている女性が、
ドイツ本社の最高経営幹部を装った偽の送金指示メールを受信。
このメールは、LEONI 社における社内の承認プロセスや送金プロセ
スを考慮した上で作られており、非常に巧妙であった。この結果、約
4000 万ユーロの被害が発生
2016 年 9 月 SS&C Technology24 2016 年 3 月、サイバー犯罪者は Tillage Commodities
TREND MICRO | Research Paper
14
ビジネスメール詐欺(BEC)の脅威
表 2:海外で報道された主な BEC 被害事例
こうした海外の被害事例だけでなく、BEC の脅威は日本にも拡大してきています。トレンドマイクロの調査
によると、全世界 92 ヶ国の法人組織が BEC 関連のなりすましメールを受信しており、その法人組織数
毎の国別では日本が 2.75%を占め、トップ 5 に入っていることが分かっています。そのため、国内法人組
織においても新たな脅威である BEC に備え、今後対策を検討していく必要があるでしょう。
図 10:BEC 関連のなりすましメールを受信した法人組織数毎の国別マップ
(2016 年トレンドマイクロ調べ)
新たな脅威である BEC について、その手口や最新の被害状況について解説してきましたが、最後に法
人組織が検討すべき BEC に対するセキュリティ対策について記載します。
Fund を装って、資金管理を行っていた SS&C に宛てに、偽の送
金依頼メールを送信。SS&C の担当者は規定の送金手順に従わ
ず、サイバー犯罪者が管理する香港の口座に送金し、590 万米ド
ルの被害が発生
TREND MICRO | Research Paper
15
ビジネスメール詐欺(BEC)の脅威
6. BEC への対策
BEC は、その攻撃手法の特性上、セキュリティソリューションで防ぎきることが難しい脅威です。BEC の手
口の中で用いられる、フィッシングメール、キーロガーが添付されたメールはメールセキュリティ対策製品で防
ぐことができますが、最終的に送られてくる偽の送金指示メールや支払い依頼メールなどは通常の業務メ
ールのやり取りと何ら変わらない形で送られてくるため、メールセキュリティ対策製品をすり抜けてくることが
想定されます。そのため、BEC の脅威に対しては、こうした手口に騙されないよう自組織の従業員を教育
することが非常に重要です。加えて、リスクをできる限り低くできるよう、高額の送金処理に関する社内ポリ
シーや処理・決済手順の整備・徹底が求められます。
送金処理に関する社内整備 BEC による不正送金は高額の被害をもたらす危険性が高いため、リスクを低減させるためにも決済処
理に関するポリシーや手順の整備が必要です。
① 送金処理に関する社内ポリシーならびに処理・承認のプロセスや手順を文書化する。
② 一定額を超える送金処理の場合には、稟議制度といった複数の階層、段階を通さないと承認さ
れないような仕組みを制度化する。
③ 高額か否かに関わらず、送金処理については社内システム上登録されたものしか処理できない仕
組みにする。
④ 振込先の変更などの手続きは、メールなどで行うのではなく書面での通知や本人確認ができてい
るもののみを処理できるようにする。
従業員に対する教育 標的組織の幹部や従業員になりすました偽の送金指示メール、支払い依頼メール等を受信した場合
に備え、従業員に以下の 4 点を徹底させるセキュリティ教育の実施が有効です。
① 従業員に対して自組織のセキュリティポリシーを徹底させる。
② 不自然な形で自組織幹部から緊急の送金依頼案件等のメールを受信した従業員は、メールを
注意深く精査し、依頼案件が妥当であるか慎重に確認する。
③ クラウドメールサービスを利用している場合には、特に認証情報を詐取しようとするフィッシングメー
ルに注意する。
④ 取引先の支払い情報が変更される場合、自組織の承認プロセスに従って処理するよう従業員に
徹底させる。
TREND MICRO | Research Paper
16
ビジネスメール詐欺(BEC)の脅威
⑤ 送金依頼案件の場合、メールに記載された電話番号ではなく、いつも使用している取引先や幹
部の電話番号等に直接連絡してダブルチェックを行う。
トレンドマイクロ製品による対策
BEC に有効なセキュリティソリューションはまだそれほど多く市場に出回っているわけではありませんが、そ
の脅威の認知とともに今後様々な対策技術が出てくることが考えられます。既にトレンドマイクロでは、
そうした BEC の攻撃に有効なソリューションとして、ソーシャルエンジニアリング対策技術を搭載したメー
ルセキュリティ対策製品「InterScan Messaging Security Virtual Appliance™」、「Trend
Micro Hosted Email Security™」を提供しています。
こうした製品だけでなく、BEC で用いられるキーロガー等の不正プログラムの侵入を防ぐために有効なメ
ールセキュリティ対策製品「Deep Discovery™ Email Inspector」やエンドポイント対策製品「ウイ
ルスバスター™ コーポレートエディション」、「ウイルスバスター™ ビジネスセキュリティサービス」、また万が
一こうした不正プログラムに感染してしまった場合でも、早期に検知し対応するための内部ネットワーク
監視製品「Deep Discovery™ Inspector」など、BEC の対策に有効な複数のセキュリティソリュー
ションを提供しています。
表 3:BEC の手口と主なトレンドマイクロ対策製品の一覧
BECの手口 想定される脅威 主なトレンドマイクロ対策製品
業務メールの盗み見
標的型サイバー攻撃
*フィッシングメール、キーロガー等
メールセキュリティ対策製品
Deep Discovery™ Email Inspector
InterScan Messaging Security Virtual Appliance™
Trend Micro Hosted Email Security™
Trend Micro Cloud App Security™
エンドポイント対策製品
ウイルスバスター™ コーポレートエディション
ウイルスバスター™ ビジネスセキュリティサービス
内部ネットワーク監視製品
Deep Discovery™ Inspector
メールサーバへの不正アクセス
サーバセキュリティ対策製品
Trend Micro Deep Security™
ネットワーク型侵入防御システム
TippingPoint
巧妙な詐欺メール 偽の送金指示メール等
メールセキュリティ対策製品
InterScan Messaging Security Virtual Appliance™
Trend Micro Hosted Email Security™
TREND MICRO | Research Paper
17
ビジネスメール詐欺(BEC)の脅威
図 11:トレンドマイクロ製品による BEC 対策例
2017 年、サイバー犯罪者は新たな脅威 BEC に着目し、この脅威は増加することが予測されていま
す。トレンドマイクロでは、こうした新たな脅威 BEC に対しても従来の脅威同様に、上図のような複数
のソリューションを組み合わせた多層防御のアプローチをお勧めします。
TREND MICRO | Research Paper
18
ビジネスメール詐欺(BEC)の脅威
TREND MICRO
本書に関する著作権は、トレンドマイクロ株式会社へ独占的に帰属します。
トレンドマイクロ株式会社が書面により事前に承諾している場合を除き、形態および手段を問わず本書ま
たはその一部を複製することは禁じられています。本書の作成にあたっては細心の注意を払っていますが、
本書の記述に誤りや欠落があってもトレンドマイクロ株式会社はいかなる責任も負わないものとします。本
書およびその記述内容は予告なしに変更される場合があります。
TRENDMICRO、TREND MICRO、ウイルスバスター、InterScan Messaging Security Virtual
Appliance、Trend Micro Hosted Email Security、Deep Discovery Inspector、Deep
Discovery、Trend Micro Deep Security、およびウイルスバスター ビジネスセキュリティサービスは、
トレンドマイクロ株式会社の登録商標です。
本書に記載されている各社の社名、製品名、およびサービス名は、各社の商標または登録商標です。
〒151-0053
東京都渋谷区代々木 2-1-1 新宿マインズタワー
大代表 TEL:03-5334-3600 FAX:03-5334-4008
http://www.trendmicro.co.jp
TRENDLABSTM
フィリピン・米国に本部を置き、日本・台湾・ドイツ・アイルランド・中国・フランス・イギリス・ブラジルの 10 カ
国 12 ヵ所の各国拠点と連携してソリューションを提供しています。
数カ月におよぶ厳しいトレーニングを経て最終合格率約 1%の難関を突破した、選びぬかれた 1,000
名以上の専門スタッフが、脅威の解析やソリューションへの反映など、24 時間 365 日体制でインターネッ
トの脅威動向を常時監視・分析しています。
世界中から収集した脅威情報を、各種レピュテーションデータベースや不正プログラム、迷惑メールなどの
各種パターンファイルなど、グローバル共通のソリューションに随時反映しています。
サポートセンターの役割も兼ねる研究所として、お客様に満足いただけるサポート体制を整備し、より多く
の脅威に迅速に対応しています。
©2017 Trend Micro Incorporated. All Rights Reserved.