「Wire Wire作戦」:ビジネスメール詐欺グループをFBIが掃討

By Natasha Rhodes and Cylance Research and Intelligence Team

本ブログ記事は、2018年6月12日に米国で公開された抄訳版です。原文はこちらからご覧頂けます。

ビジネスメール詐欺(BEC)が世界的な問題となっています。米連邦捜査局(FBI)が、この問題に対処するうえで重要な一歩を踏み出しました。6月11日の連邦当局の発表によると、同局はこれまで多数の大規模なBECグループを解体させるために世界中の協力機関と連携してきたとのことです。

Wire Wire作戦(Operation Wire Wire)はFBI、米国国土安全保障省、米国財務省、郵便監察局による共同の取り組みでした。6か月に及ぶ掃討作戦の結果、最終的にアメリカ国内外で74名が逮捕されました。このうちアメリカ国内の逮捕者は51名で、そのほかにナイジェリア、モーリシャス、ポーランドからも多数の逮捕者が出ています。

驚くべきことに、この作戦における不正な電信送金の回収額は、およそ1,400万ドルにのぼりました。また、掃討作戦の結果、これまで隠し続けられていた240万ドルも押収されました。

中小企業であろうと大企業であろうと、こういった手口にかかわる国際犯罪組織による詐欺被害に遭ってきたのです。また、一般の市民も標的にされました。例えば、不動産の購入者、法律事務所、お年寄り(年金口座に貯まっている老後の蓄えが頻繁に狙われます)、そのほか「仕事の業務で高額の送金をしたり、機密データを送信する」多数の人々です。 

ビジネスメール詐欺:世界的な問題

米国インターネット犯罪苦情センター(IC3)の最新のネット犯罪に関する報告書によると、IC3にはネット犯罪に関する苦情が2017年だけで計310,580件あり、報告された損害額は合計14億ドルに達しています。最高の損害額が報告されているネット犯罪はBECですが、これに関するIC3への苦情は15,690件に過ぎません。にもかかわらず、2017年にはこれらの苦情に起因する調整済み損害額は6億7,500万ドルを超えており、ネット犯罪に関連する金銭的な損失全体のうち、50パーセント近くを占めています(下の表を参照)

出典:米国インターネット犯罪苦情センター(IC3)による2017年年次レポート

「サイバー利用の金融詐欺」としても知られるBECは、最新の詐欺の一種です。BECが主な標的とするのは、企業の従業員の中でも、外国のサプライヤーと関わりを持つことが多く、支払いのために定期的に電信送金を行う人たちです。BECグループの目標は、企業の財務を担当している従業員を欺いて、偽の口座に電信送金させることです。BECでは、小切手詐欺やEメールアカウント侵害(EAC)が使用されることもよくあります。

このレポートでは「こういったケースが被害を受けた人や企業にもたらす甚大な影響は、個々の企業だけでなく、世界経済にまで及ぶ」と指摘しています。同報告書から引用します。

「詐欺実行犯は一般に、被害者の通常の業務と最も関わりが深い方法を用いる。どちらの詐欺の場合も、大抵は1人または複数の詐欺実行犯が、ソーシャルエンジニアリングまたはコンピューターへの侵入といった手段で企業の正規のメールアカウントを乗っ取って、不正な送金を実行する」

また、この報告書では、BECとEACのいずれの詐欺もますます高度化していると警告しています。BECの例として、以下のようなものがあります。

  • 経営層の中でも特に高い立場にある人物、例えばCEOやCFOのメールアカウントが、サイバー犯罪者によってハッキングされたり、なりすまし被害にあったりする。続いて、ハッキングされたりなりすまされたりしたアカウントから従業員に不正なメールが送られる。このメールで、偽の「顧客」口座に電信送金するよう指示する。

  • 従業員の業務用アカウントがハッキングされたりなりすまされたりして、正規の商取引で得た資金が奪われたり、犯罪者やマネーミュール(犯罪と知らずに不正送金に加担してしまう第三者)の口座に転送されたりする。

  • また、従業員の連絡先リストから特定された取引先や顧客に、その従業員の乗っ取られたメールアカウントから、不正な支払い請求が送信される。

  • 個人を特定できる情報(Pii)や給料と税の明細(W2)を要求する不正なメールが従業員全体、または財務/人事部門のメンバーに送られる。

  • 弁護士や法律事務所を装ったサイバー犯罪者が従業員に接触して、指定の時間までに急いで電信送金するよう指示してくる。

BEC/EACグループの被害者とならないために

BEC/EAC詐欺の手口はさまざまに異なる可能性があり、これに対する万能の回避策は存在しません。この詐欺で悪用されるのは、セキュリティチェーンにおける最も弱い部分、すなわち人間です。そして、詐欺が以前にも増して高度となるにつれ、たとえセキュリティ意識が非常に高い人であっても、騙される可能性がまったくないとは言えない状況になってきました。

ビジネスの観点からすると、この種のリスクを低減するためには従業員の教育とセキュリティ意識のトレーニングが重要です。また、企業が被害者となる可能性を減らすために社内のIT部門が講じることのできる技術的な措置もたくさんあります。以下は、そのうちの一部をまとめたものです。

EメールセキュリティについてのIT部門向けアドバイス

  • 自社名と似たメールアドレスからメールが送られてきたときに自動的に警告して報告する、侵入検知システムを作成しましょう。例えば職場をABC.comとすると、ACB.com、A_BC.com、ADC.comなどからメールが送信されてきた場合には、検知システムから警告が出される必要があります。

  • メールに関するルールを設定し、「返信先」と「送信元」のアドレスが一致しないメールについて、警告とレポートが実行されるようにしましょう。

  • メールに関するルールを作成して、社内から送信されたメールには自動的に特定の色(例えば緑)が割り当てられ、外部のアカウントから来たメールには別の色(例えば赤)が割り当てられるようにしましょう。  

  • 取引先への支払いを処理・記録するシステムに、二要素認証(2FA)を追加しましょう。

  • 取引先の支払い先住所や電話番号に変更があったとき、またはあらかじめ定められていた範囲を上回る額の送金請求があったときには、特に指定がなくても、常に管理職による2次認証を必要としなければなりません。

  • 会社のメールアカウントと支払いシステムのすべてに対し、2FA(2要素認証)によるログインの実装を検討してください。

  • クライアントおよびサーバーのメールに関する「ルール」を頻繁にレビューおよび検証して、望ましくない振る舞いや想定外の振る舞いを引き起こす、異常なルールや不正なルールが作成されていないことを確認します。

Eメールセキュリティについての従業員向けアドバイス

  • 二度読んでから送る」というルールを守りましょう。つまり、メールによる送金請求のうち、額の大きいものや想定外のものについてはいずれも、どこかに不自然なところがないか入念にチェックする必要があります。
    送信者のメールアドレスには最大限の注意を払いましょう。
       - Outlookの場合、メールアドレスを右クリックして「連絡先カードを開く」を選択します。連絡先カードにあるアドレスはメールの画面に表示されているアドレスと一致していますか?
       - メールアドレスの後半に書かれた会社名の綴りは正しいですか?メールアドレスの会社名の部分に「思いもかけない」タイプミスを紛れ込ませておくことは、不正の実行犯がよく用いるテクニックです。彼らはそうすることで、自身のメールが正規の会社から送信されたかのように見せかけます。例えば、“name@capitalone.com”の綴りが間違っていて、“name@capitolone.com”となっているかもしれません。

  • 電信送金フォームに記入する際は、社内システムの既存の情報のみを直接コピーしましょう。送金請求メールに記載されている情報は絶対にコピー&ペーストしないようにしましょう。不正実行犯は、あなたが最も安易な方法を選ぶことを期待するものです。彼らはあなたに誤った情報を提供しようとします。また、不正実行犯は、フォームに自動入力するためと称してリンクを設けて、クリックしたときにマルウェアやスパイウェアがダウンロードされるようにするかもしれません。

  • 金銭や情報を請求してきたメールを信用してよいかどうか迷ったら、ためらうことなく送信先の相手に直接連絡して、身元と、請求が正当なものであるかどうかを確認してください。今はちょっと面倒くさくても、後で大慌てするよりまだましというものです。

  • 金銭を扱う部署で働いているなら、LinkedInのように誰でも閲覧できるオンラインフォーラムに自分の業務にかかわる詳しい話を投稿するのは、慎重を期したほうがよいでしょう。自分の不注意な発言のせいで、攻撃者に貴重な標的として目をつけられてしまうかもしれません。

  • 知らない相手から来た迷惑メールは即座に(スパムとして)報告し、削除しましょう。こういったメールを開いたり、メールのリンクをクリックしたり、添付ファイルをダウンロードしたりしてはいけません。たとえ、取引のある会社から来たように見えたとしてもです。これは、プライベートまたは企業のアカウントに送られてきた、ソーシャルメディアのメッセージについても言えることです。

  • クライアントや取引先の会社の従業員が、不意にプライベートのメールアカウントから連絡してきたり、ソーシャルメディアからメッセージを送ってきたりしたときには、まず疑ってください(例えば、休暇中なので会社のメールにアクセスできないと言ってきたりします)。仕事の話をする場合は必ず会社のメールを使用してもらうよう丁重にお願いしてください。

  • 妙な電信送金を要求してきた人から、自身の身元確認のために電話をかけてきてほしいと頼まれても、その人が伝えてきた番号にかけてはいけません。その代わり、会社に直接電話して相手につないでもらうよう頼みましょう。     

BEC詐欺を報告するには

Wire Wire作戦に関するFBIの今週の発表で、FBI長官のクリストファー・レイは次のように述べています。「(この作戦は)アメリカの市民と企業を狙う犯罪組織を撲滅して解体するためのFBIの取り組みを実践するものでした。これからも世界中の警察機関の協力と連携により詐欺行為を撲滅し、市民の汗と努力の結晶である財産を守っていきます。市民の皆さんを保護することがFBIの務めです」。

自分もBEC詐欺の被害者なのではないかと不安を抱いてこの記事をお読みになった方もいるのではないでしょうか。もしそうなら、迅速に対処することが重要になります。こちらのページでIC3によるアドバイスを参照してください。被害を抑えるための具体的な手順について詳しく説明しています。

あなたやあなたの会社に接触してきたBECグループについて正式に報告したい場合は、こちらからIC3に苦情を申し立てることができます。

Tags: