0
会員になると、いいね!でマイページに保存できます。
12月20日、日本航空(JAL)が取引先を装ったメールに騙され、3億8000万円以上を詐欺犯に振り込んでしまったというニュースがあった。金額もさることながら、大企業が振り込め詐欺のような手口で億単位の被害にあったということも注目が集まった。しかし、この手の攻撃の予防は簡単ではなく、どんな企業でも騙される可能性がある。加えて、今回の報道を受け、模倣犯など類似の攻撃が活発化するかもしれない。
メール詐欺は常態化している
JALが被害にあった攻撃は、BEC(Business E-mail Compromise:電子メール詐欺)と呼ばれるものだ。BECは2014年ごろから金融機関を中心に顕在化した攻撃で、主にソーシャルエンジニアリングを利用した攻撃だ。偽メールで相手を騙し、不正な送金をさせる。例えば、社長やその秘書などの名前を騙り、社長命の至急の資金と称して振り込みさせたり、支払先の変更を指示したりする。
基本的な手法はソーシャルエンジニアリングだが、標的型攻撃などで侵入した攻撃者が、取引先とのメールやりとりを傍受し、現実の取引を装ったり、絶妙に割り込んで送金処理をハッキングしたりすることもある。メールサーバの乗っ取りが成功していれば、より高度ななりすましや偽装メールが送られてくるため、詐欺を見抜くのは難しい。
今回の事件は、BECではなくSCAM(手法を問わず詐欺全般)に分類する専門家もいる。背景や被害状況が明らかでない部分があり、厳密にSCAMなのかBECなのかの分類はできないが、報道などで分かっている範囲を整理すると以下のようになる(12月25日現在の情報)。
CASE1:3億6000万円の被害
・偽メールは金融会社から機体のリース代金に関するもの
・差出人は正式な担当者アドレスの1文字違い
・メールの内容はリース代金の請求書と振込先の変更に関するもの
・請求書(PDF)は本物と同じ書式で作られていた
CASE2:2400万円の被害
・偽メールは貨物の地上業務に関する委託料に関するもの
・香港の指定の口座に代金の振り込みを指示
・差出人は正式な担当者ではなかったが、担当者にccを入れて確認したところ、担当者のアドレスで間違いないという返信あり
標的型攻撃ですでに侵入されている可能性
以上の情報が正しいとして、
CASE1は、典型的なソーシャルエンジニアリングによる詐欺といえる。アドレスは1文字違いで気付きにくく、本物のと見分けがつかない請求書で相手を騙している。
JAL側は複数チェックでも正しい金融会社からの問い合わせ(代金未納の連絡)が来るまで詐欺と分からなかったという。億単位の振込先の変更を先方のメールだけで処理が進んでしまうのも問題だが、巧妙に仕組まれた詐欺であることは間違いない。
注目すべき点は、なりすました担当者の名前やメールアドレス、さらにその金融会社の請求書のフォーマットを把握したうえでの詐欺行為という点だ。メールアドレスの偽装方法はいくつもあるが、1文字違いがアカウント名であり、ドメイン名が正規の物だった場合、どちらかのメールサーバが乗っ取られている可能性もある。
いずれにせよ、担当者のアドレス、請求書のフォーマット、そして請求タイミングなども把握したうえでの犯行と思われる。標的型攻撃などにより、JALもしくは金融会社に攻撃者は侵入しており、取引内容などを盗聴していた可能性が高い。
CASE2は、正規の担当者にccでメールを送っているのに偽の返事を受け取っていることから、メールサーバが乗っ取られている、あるいは中間者攻撃によって標的のメールがモニタリングされている可能性が高い。JALおよび地上業務を委託されている会社は標的型攻撃による侵入(リモートツール、バックドア、管理者アカウント漏えいなど)を精査する必要がある状態だ。
一般論ではあるが、標的型攻撃において、標的のセキュリティレベルが高く侵入が困難な場合は、取引先などで防御が甘いところが狙われ、攻撃の足掛かりにすることがある。
【次ページ】 2018年はSCAM、BECが欧米並みに増えるかも。対策は困難、「メールを使わない」選択肢もある
関連タグ