新年あけましておめでとうございます。実は1月から転職しまして、慣れない環境で慌ただしい日々が続くのでブログ更新は少し停滞しそうです。そんなわけで、2017年一本目のブログ更新はセキュリティネタです。

セキュリティベンダーのトレンドマイクロが昨年末に発表した「2016年の主要なサイバーセキュリティ事例を振り返る」というセキュリティブログの中でBECというサイバー犯罪手法について触れていました。

日本ではまだ大きな被害は出ていないようですが、サイバーオレオレ詐欺とも呼べる悪質なその手法は近く日本でも猛威を振るうのではと警戒されています。

そこで今回はこのBECという犯罪手法についてご紹介します。

広告



BECって何の略称?

BECはBusiness E-Mail Compromiseの略称です。直訳すると「ビジネス電子メールの侵害」となります。

簡単に言うと、攻撃者はビジネスでやり取りするE-Mailを不正な手段で盗聴、乗っ取り、当事者のふりをして不正な口座に送金させる手法です。

乗っ取られる対象の多くはCEOや社長が多く、一方で送金をさせられてしまう対象の多くは財務担当責任者となります。

どんな風に送金させられるのか

乗っ取られた人によって手順は異なりますが、CEOや社長が乗っ取られたケース、取引先が乗っ取られるケースが多いようです。

CEOが乗っ取られるケースでは、「極秘で進めていたM&A案件が成立することになった。買収先に至急支払いが必要だ」といった支払いを急かすような手法が使われます。

取引先が乗っ取られるケースでは、逆に何事もなかったかのように正規の経路で「弊社の振り込み先口座が変更になったので今後はこちらに送金してほしい」といった手法が用いられることが多いようです。

この手法、どっかで見聞きしたことがありませんか?そう、オレオレ詐欺と同じ手法なんですよ。子供になりすました詐欺集団が親に電話して「オレオレ、事故を起こしちゃって示談金が必要だから振り込んで欲しい」というアレです。

なので僕はBECのことをサイバーオレオレ詐欺と勝手に呼んでいます。

実際にどんな被害がでているの?

トレンドマイクロのセキュリティブログでは以下の様な事例が紹介されています。

Leoni が見舞われた BEC詐欺

「Leoni AG」はドイツのニュルンベルクに本社を置く自動車用電線メーカー。2016年8月、同社ルーマニア工場の最高財務責任者(Chief Financial Officer、CFO)がBECの被害に遭い、身元不明の銀行口座に 4,000万ユーロ(2016年12月の円換算で約49億円)を支払わされました。この詐欺では、同社経営幹部になりすました Eメールが送信され、社内ポリシーを巧妙に順守した送金リクエストが偽装されました。この偽の送金リクエストはほぼ本物と見分けがつかず、CFO は送金指示に応じてしまいました。

引用元 トレンドマイクロ 第2回:2016年の主要なサイバーセキュリティ事例を振り返る

この事例では経営幹部のアカウントが乗っ取られ、財務責任者が攻撃されたもので49億円という大金が盗み取られました。BECは海外と多く取引のある大企業が狙われがちなので、被害額も大きくなるケースが多いようです。

で、対策は?

BECは手が込んでいて2段階で攻撃を仕掛けてきます。

1段階目の攻撃はターゲットとなるアカウントに対してアカウントを乗っ取るための攻撃です。2段階目の攻撃は、乗っ取ったアカウントを用いて支払い権限がある人に対して偽のメールを送り付け支払いの指示を行います。

1段階目の攻撃への対策

1段階目のアカウント乗っ取りは、ターゲットに対してEメール等でキーロガー(キーの入力情報を盗み取るツール)を送り付けアカウント情報やメール情報を盗み取ります。この攻撃に対しては標的型メール攻撃と同様に、

  • 不審なメールは開かない
  • むやみに添付ファイルやリンクを開かない
  • ブラウザ等のソフトウェアのアップデートを確実に行う
  • OSのアップデートを確実に行う

などで大半は防ぐことができます。

2段階目の攻撃への対策

2段階目の攻撃は、人の心理を巧みに突いてくる攻撃なので技術的な対策は難しいのが実情です。それでも、次のような対策を講じることでかなりを防ぐことができます。

  • 支払い権限を持った人にBECという詐欺手法があることを認識させる。
  • 支払処理を行う人、支払いを決裁する人で権限を分ける。(一人で支払い処理と決裁ができる体制にしない)
  • E-Mail以外(電話等)で当該者に確認する。相手がCEOや社長などの役職であれば秘書などに確認するのも効果大。

などが挙げられます。その他には不審なE-Mailに対しては返信しないで、手入力で正規のアドレスを入力するなども対策としては有効になります。

最後に

非常に手の込んだ悪質な犯罪であるBECですが、海外で被害件数が急激に増えているので、今後日本でも猛威を振るうだろうと警戒されています。

日本の企業では、まずはこのような詐欺手法が流行り始めていることを認識することが対策の第一歩です。特に財務担当者が狙われることが多いので、社内のセキュリティ担当者は財務担当者と情報共有していくことが重要となるでしょう。

さらにBECと似たような詐欺手法としてBPCというものがあります。BPCはまた別の機会に記事にしたいと思います。

参考文献