国内大手航空会社で12月20日、「ビジネスメール詐欺」(BEC:Business Email Compromise)と呼ばれるサイバー犯罪により、巨額の金銭をだまし取られる事件が報じられた。4月に情報処理推進機構(IPA)がBECへの注意を呼び掛けていた。
BECは、犯罪者が実在する組織や人物になりすまして標的にした企業とメールなどのやり取りをしながら、最終的に金銭を銀行口座などに振り込ませて盗み取る詐欺犯罪だ。今回の事件では、業務委託や航空機リースに関連する金銭のやり取りがメールなどで行われ、航空会社は香港の銀行口座に金銭を振り込んだものの、正規の取引先から連絡があるまで被害に気が付かなったとされる。
BEC関連メールの世界と国内での検出状況(トレンドマイクロ提供)
海外では、2015年頃からBECの被害が目立つようになり、2016年3月に米連邦捜査局(FBI)が注意喚起した。世界では数十億円規模の被害を伴う事件が繰り返し発生している。国内での注意喚起は2017年に入ってからだが、トレンドマイクロによれば、2016年3月に不動産管理会社がペンションの宿泊代金など請求する外国人オーナーを装った犯人によって約2000万円をだまし取られたほか、2017年も数百万円規模の被害を伴う事件が度々起きている。
BECで特徴的なのは、その名が示す通り、仕事に関するメールで相手をだます点にあるとされる。海外では、最高経営責任者(CEO)など組織のトップがだまされる事件が起きており、犯罪者が仕掛けるメールの内容は、実際の業務や取引案件に沿った非常に巧妙なものが大半だ。狙われた側がメールの内容を信じてしまうと犯罪だと見抜くことは難しく、マルウェアなども不要なことから、技術的なセキュリティ対策が通用しづらいといわれる。
犯罪者が相手をだます際には、実在する組織や人物の正規のメールアドレスに似せたアドレスを用いることが知られているが、トレンドマイクロによれば、正規のメールアドレスを使うケースもある。この場合は、犯罪者が前もって何らかの方法で正規のメールアドレスを持つユーザーのアカウント情報を入手し、それを犯罪に悪用している可能性がある。
今回の事件との関連は不明だが、国内では2017年に入ってMicrosoftのOfficeの通知を装うメールでアカウント情報を盗み取るフィッシング攻撃が相次ぎ、海外でもOffice 365のアカウント情報を狙う「KnockKnock」攻撃が発生した。フィッシング対策協議会の過去の注意喚起では、銀行やクレジットカード会社、オンラインゲーム、インターネットサービスプロバイダー、ウェブメールといった一般向けのサービスなどになりすますフィッシング攻撃が多く、業務で使う機会の多いOfficeを用いた手口は比較的新しい。
9月に見つかったOfficeの通知を装うフィッシングメール(出典:フィッシング対策協議会)
IPAや重要インフラなどの企業・組織との間でセキュリティ脅威情報を共有する「J-CSIP」の最新レポート(PDF)によれば、2017年7~9月期には、MicrosoftのOffice 365のアカウント情報を狙うフィッシングメールが複数観測された。Office 365は主に企業や組織などが使用するが、メールだけでなくドキュメントの作成や編集、加工、共有やスケジュール管理などもでき、機密情報が頻繁に扱われる。
J-CSIPで観測されたOffice 365のアカウントを狙うフィッシングメールの一例(出典:IPA)
J-CSIPでは、犯罪者にとってこうしたサービスのアカウント情報が機密情報にアクセスする手段になり得るとし、犯罪者はアカウント情報を用いて深刻な標的型攻撃の準備(情報収集や侵入の踏み台など)をするため、アカウント情報の窃取が企業や組織にとって大きな脅威になると解説する。その一方で、従業員は自身のアカウント情報の重要さやアカウント情報を狙うフィッシングなどの脅威を十分に認識していない恐れがあり、このことが大きな被害につながりかねないと警鐘を鳴らす。