サイバー犯罪者は、企業を攻撃する新たな方法を絶えず模索しています。ここ数年で、企業のメールのやり取りを狙うビジネスメール詐欺(BEC)を利用したサイバー犯罪が増えてきました。
米国のInternet Crime Complaint Center(IC3)だけを見ても、2019年にFBIへ報告したBECのインシデント数は2万3775件に上ります(リンク先は英語)。この数字は2018年に比べて3,500件の増加で(リンク先は英語)、損害額も12億ドルから17億ドルに増えています。
BECとは何か
ビジネスメール詐欺(BEC)とは、以下の流れで進行する標的型サイバー犯罪行為をいいます。
- ある企業の社員との間で、メールのやり取りを開始する、または既存のやり取りを乗っ取る。
- その社員からの信頼を得る。
- その企業またはその企業の顧客の利益を損なうような行動を起こさせる。
犯罪者の持つ口座への送金や機密ファイルの送信に絡む行動を起こさせるのが通例ですが、必ずしもそればかりではありません。たとえば、当社のエキスパートが最近遭遇したBECの事例は、会社のCEOが送ったかのように見せかけ、特定の電話番号宛てにSMSでギフトカードのコードを送るように指示する内容でした。
BECはフィッシング的な手口を用いることが多いものの、より巧妙で、技術的な専門知識とソーシャルエンジニアリングの要素を備えています。さらに、メールに悪意あるリンクや添付ファイルを含めるのではなく、メールクライアントを(その結果として受信者も)だまして正当なメールだと思い込ませるという、独特な手法を使います。主役を演じるのは、ソーシャルエンジニアリングです。
攻撃を開始する前には、標的となる人物に関するデータを周到に集めるのが一般的です。集めたデータは、相手の信頼を得るために使われます。やり取りは2、3通のメールで終わることもあれば、数か月にわたって続くこともあります。
これとは別に、さまざまなシナリオと技術を組み合わせて進行する、段階的なBECもあります。たとえば、まずはスピアフィッシングによって一般社員のユーザー認証情報を盗み、それから上位の役職の社員に対して攻撃を仕掛けるなどです。
よくあるBECのシナリオ
BECのシナリオはすでにいくつも存在しますが、サイバー犯罪者は新たなシナリオを生み出し続けています。当社の観測では、大半は以下の4つのいずれかに分類できます。
- 偽の外部関係者:メール受信者が在籍する企業の取引先組織の人間を装うパターン。本当にその企業が取引をしている実在の会社であることもあれば、実在しない会社の人間を装うこともあります。
- 上司からの指示:技術的なトリックやソーシャルエンジニアリングを用いて、(大抵は上位の)管理職の名前をかたる偽メールを作成するパターンです。
- 弁護士からの連絡:上位の役職の社員(CEOの場合も)に対し、大至急、そして内密に資金や機密データを要求するメールを送るパターン。外部の会計士、供給業者、運送会社など契約関係にある相手を装うことがしばしばです。ただし、緊急かつ内密の対応が求められるのは法的な状況であるのがほとんどであるため、一般に弁護士や法律事務所の名義のメールが使われます。
- メールの乗っ取り:社員のメールアカウントへのアクセス権を入手し、送金やデータ送信の指示を出したり、送金等の権限を持つ社員とやり取りを始めたりするパターン。この場合、攻撃者は送信済みメールを見ることができるので、その社員が書く文章のスタイルを真似しやすく、特に危険性が高い攻撃シナリオです。
BECの手法
BECは、技術面でも進化しています。たとえば2013年にはCEOやCFOのメールアカウントを乗っ取って利用していましたが、現在では、技術的な策略、ソーシャルエンジニアリング、そして人の不注意を組み合わせて首尾よく別人になりすますケースが増えてきています。BECでよく使われる基本的な技術的トリックは、以下のとおりです。
- メール送信者の偽装:メールヘッダーを偽装します。その結果、たとえば「phisher@email.com」から送信したメールが、受け取った人には「CEO@yourcompany.com」から届いたように見えます。メール送信者を偽装する方法には多くのバリエーションがあり、各種ヘッダーはさまざまな方法で変更可能です。この攻撃が危険なのは、メールのヘッダーを操作するのが攻撃者だけではないところにあります。正当な送信者でも、さまざまな理由でメールのヘッダーに手を加える場合があります。
- よく似たドメイン:標的とする組織のドメイン名に非常によく似たドメイン名(たとえば「example.com」に対して「examp1e.com」)を登録します。その上で、偽のドメインに気づかない社員がいることを期待して、「CEO@examp1e.com」というメールアドレスからメールを送信します。この方法が厄介なのは、偽ドメインとはいえ攻撃者は実際にそのドメインを所有しているため、送信者情報に関する従来型のセキュリティチェックをすべて通過してしまう点です。
- Mailsploit(メールクライアントの脆弱性):メールクライアントでは、新しい脆弱性が常に発見されています。そうした脆弱性は、偽の名前や送信者アドレスをメールクライアントで表示させるのにしばしば利用されます。幸い、そうした脆弱性はすぐに情報セキュリティ企業が知るところとなるので、セキュリティ製品で脆弱性の利用をトラッキングし、攻撃を阻止することが可能です。
- メールの乗っ取り:攻撃者がメールアカウントを完全に掌握し、本物とほとんど見分けがつかないメールを送信可能になるパターンです。この攻撃から自動的に防御するには、メールの作成者を判定する機械学習ツールを使用するしかありません。
BECの実例
この項では、一般的なBECの例を実例に基づいて紹介します。なお、顧客の秘密保持のため、実際のメールとは情報を変えています。
偽の名前
この攻撃者は、相手の上司を装ってやり取りを始めようとしています。メールの受信者が本物の上司に連絡を取らないようにするため、これが緊急の要件であること、そして上司がメール以外の通信手段では連絡が取れない状況にあることを強調しています。
———-
(抄訳)
件名:至急
おはよう。
今、いいだろうか?
ちょっとお願いしたいことがあるので
P.S: 電話会議中なので話せない、返信で頼む
———-
よく見ると、送信者の名前(Bob)が実際のメールアドレス(not_bob@gmail.com)と一致しないことが分かります。このケースでは、メールを開いたときに表示される名前だけが偽装されています。このタイプの攻撃は、特にモバイルデバイスに対して効果的です。モバイルデバイスでは、送信者のメールアドレスではなく送信者の名前だけが表示されるのが既定となっています。
偽のメールアドレス
この攻撃者は、銀行口座情報を変更する権限を持つ経理部門の社員を探し出そうとしています。
———-
(抄訳)
件名:至急:銀行口座の変更について
アリスさん、
取引銀行を変更したので、給与支払いシステムに新しい口座の情報を登録しなければならないのですが、今すぐお願いできるでしょうか。
銀行:BANK OF GOTHAM
口座名義:ARTHUR FLECK
———-
このメールのヘッダーには変更が加えられており、メールクライアントに本物の社員の名前とメールアドレスが表示されるようになっています。しかし、Reply to(返信先)アドレスには攻撃者のメールアドレス(not_bob@gmail.com)が表示されています。つまり、このメールに対する返信は攻撃者の元に送られます。多くのメールクライアントではReply toのフィールドが表示されないようになっているので、注意していてもこのメールは本物のように見えてしまいます。このようなメールを使用した攻撃は、理論的には、企業のメールサーバーでSPF、DKIM、DMARCを正しく設定することで阻止することが可能です。
実在しない人物
この例では、攻撃者が上司のふりをして、後から連絡してくるという実在しない弁護士への協力を強く指示しています。
———-
(抄訳)
件名:至急!弁護士からの依頼について
アリス、
重要な訴訟で当社を担当している弁護士から、あなた宛に連絡が行きます。
弁護士から依頼された書類をすべて渡してください。至急の案件のため、できるかぎり急ぎの対応をお願いします。
マーティン・ヘルナンデス
example.com CEO
———-
このメールの送信者欄には、名前だけでなく偽のメールアドレスも表示されています。最先端とは言いがたい手法ですが、それでも、特に実際のアドレスが受信者の画面に表示されない(たとえば、長過ぎて表示されない)ような場合には、だまされる人は少なくないでしょう。
よく似たドメイン
こちらも、ある企業の社員とメールのやり取りを始めようとしている例です。
———-
(抄訳)
件名:案件
アリスさん、こんにちは。今、お時間はありますか?至急お手伝いいただきたい案件があります。
よろしくお願いいたします。
———-
BECの手法の項で触れた、よく似たドメインを使った方法の例です。この攻撃者は、本物のドメインによく似たドメイン名をあらかじめ登録しておき(この例では「example.com」の代わりに「examp1e.com」が使われている)、メールの受信者が違いに気づかないことを期待しています。
BECの主な事例
昨今は、さまざまな形態や規模の企業がBECによって多大な損害を被った事例が報じられています。ここでは、特筆すべき例を紹介します。
- 台湾の電子機器メーカーのドメインに似せたドメインを作成し、その偽ドメインを使用して大手企業(Facebook、Googleを含む)に対して2年にわたり請求書を送り続け、総額1億2000万ドルを手に入れた事例(英語記事)。
- 建設会社を装い、南オレゴン大学に200万ドル近くを架空口座に送金させた事例(英語記事)。
- あるサッカークラブのドメインとよく似たドメインを登録し、そのサッカークラブと別のサッカークラブの間のやり取りに介入した事例。ボカ・ジュニアーズとパリ・サンジェルマンの間では選手の移籍と移籍金について協議が進行中であり、このBECにより約52万ユーロがメキシコ国内の複数の不正口座に送金されました。
BEC対策
サイバー犯罪者は、広範な技術的トリックとソーシャルエンジニアリングの手法を駆使して相手の信頼を勝ち取り、詐欺行為に及ぼうとします。しかし、いくつか対策を講じることで、BECの脅威を最小限に抑えることが可能です。
- SPFを設定し、DKIMを採用し、DMARCを実装することで、偽の社内メールに対する防御を固める。これらの手段によって、原理上、自社の名前で送信されたメールの正当性を他社が認証することも可能になります(当然ながら、相手方の会社でこの技術が導入されていることが前提となります)。この手法にはやや及ばない点(実在しない人物やよく似たドメインを阻止できないなど)もありますが、SPF、DKIM、DMARCを利用する企業が増えるほど、サイバー犯罪者の行動の余地が狭くなります。こうした技術を利用することは、さまざまなタイプの悪意あるメールヘッダー操作に対して、いわば集団免疫を獲得することにつながります。
- ソーシャルエンジニアリングに対処するための社員教育を、定期的に行う。セキュリティのレイヤーをくぐり抜けてきたBECを社員が警戒し、それと気付くことができるように、ワークショプとシミュレーションを組み合わせたトレーニングを実施しましょう。
- この記事で説明されている攻撃経路の多くに対抗可能な技術を備えたセキュリティ製品を使用する。
カスペルスキー製品は、当社作成のコンテンツフィルタリング機能を搭載しており、これまで多くのタイプのBECを特定してきました。当社のエキスパートは、特に高度で巧妙な詐欺行為に対抗するための技術の開発に継続的に取り組んでいます。