★☆★JNSAメールマガジン 第255号 2023.2.3☆★☆
2023/02/03 (Fri) 16:05
★☆★JNSAメールマガジン 第255号 2023.2.3☆★☆
こんにちは
JNSAメールマガジン 第255号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
トレンドマイクロ株式会社 セキュリティマーケティンググループ
平田健剛様にご寄稿いただきました。
【連載リレーコラム】
ビジネスメール詐欺による被害
トレンドマイクロ株式会社 セキュリティマーケティンググループ
平田健剛
■ビジネスメール詐欺による被害
2022年5月、米連邦捜査局(Federal Bureau of Investigation、FBI)は、
「ビジネスメール詐欺(Business Email Compromise、以下BEC)」による被害が
2021年までに世界で総額430億米ドルに到達したことを報告[1]しています。
また、「Internet Crime Report 2021」[2]においては、
2021 年のサイバー犯罪に関する金銭的損失のうち、
BECが最も大きな割合(35%)を占めていることを発表しています。
なぜこれほどまでにBECが甚大な被害をもたらしているのか、その理由は
「簡単に大儲けできるから」です。
他のサイバー犯罪では、複雑でコストのかかる攻撃ツールや専門的な技術知識
が必要になります。
一方BECは、標的とする人の心理の理解と、標的組織の内部事情に関する十分
な情報さえあれば攻撃を成功させることができる為、攻撃者にとって費用対
効果に期待が持てるものとなっています。
BECは、日本では2017年12月、日本の航空会社に億単位の被害が出た[3]ことで
一躍注目されましたが、近年被害が多発している「ランサムウェア」ほどの
知名度や認知はない印象を受けます。
しかし、先ほどの「Internet Crime Report 2021」において、BECによる
損失額は同年ランサムウェアの損失額の約49倍に上ったことが示されています。
これはBECが無視できない脅威の1つであることを明示した数字であるといえる
でしょう。
■トレンドマイクロのセンサーデータに見るBECの発生傾向
トレンドマイクロが保有するクラウド型のセキュリティ基盤
Trend Micro Smart Protection Network(SPN)[4]では、世界中の脅威情報を
ビッグデータとして収集しています。
SPN上では悪意があると判断されたメールの中から、件名や書き方の癖などを分析し
トレンドマイクロ独自の抽出条件で、BECが試みられた件数を算出しています。
本データによれば2020年に約7.3万件、2021年には約14.6万件、2022年1-9月では
約21万件と
BECが試みれた件数は毎年大きく増加していることがわかっています。
その増加傾向から2023年以降もBECによる脅威は継続すると予想しています。
またBECの主要な手口の1つとして「CEO詐欺」という社内の経営幹部になり
すます手法があります。
このCEO詐欺が発生した件数に関して、SPNを用いて地域別に見た場合、
2018年~2021年の間の発生地域はアメリカ、イギリス、カナダ、ニュージー
ランドなどがその割合の多くを占めていました。
これは、現在のCEO詐欺の主な対象が英語圏の国々に集中していることを
示しています。
逆に言えばアジア圏などは言語的な障壁に守られて、詐欺被害が少ない状況に
あるとも捉えることができます。
■日本におけるBECの脅威
では、現状日本においてBEC詐欺は警戒に値しない脅威と捉えてよいでしょうか。
確かに、2022年6月に逮捕されたナイジェリアのBECグループ[5]は、その主な
攻撃対象が中東地域でした。
これは攻撃者の言語圏に近い国が狙われる傾向にあるものと言えます。
ただし、同時に業務上外国語を使用することが多い組織、
つまり海外と取引を行う企業や海外拠点を持つ企業はBECに狙われる可能性が
高いとも言えます。
実際に序章で紹介した日本の航空会社の事例や2018年のドルチェ&ガッバーナ
の日本法人で発生した数億円規模の事例[6]は、
海外取引先や本社とのやりとりの際に発生したものです。
また、2018年時点ですでに日本語でのBEC攻撃キャンペーンが確認されています。[7]
つまり、言語的障壁は絶対ではなく、BECも警戒すべき脅威の一つであると
認識すべきです。
■BECの手口
国内の報道では、「企業向けの振り込め詐欺」などと表現されるBECですが、
この表現は非常にわかりやすい反面、実態と異なるものである可能性があります。
BEC では巧妙に作られたメール文面や物語じみたやりとりの経緯などに目が
行きがちですが、そうした巧妙化を実現するための前段階として、攻撃者は
特定の企業の「情報収集」を行っています。
つまり、BEC の被害が発生する背後には必ず、情報を収集するためのサイバー
攻撃やソーシャルエンジニアリングなどが実施されています。
BECの成功率を上げるために、攻撃者が最も手に入れたい情報は業務メールの
情報です。
業務メール情報を盗み出すために行う攻撃としては、標的型メール等を使った
「マルウェア感染」による窃取と、「フィッシング」による詐取の 2 つに
大別できます。
特にフィッシングによるアカウント詐取の手法は、代表的なメール内リンク
から不正URLに飛ばす手法に加えて、通常のPDFファイルを添付しPDF内に
リンクを埋め込む、HTMLファイルを添付するなど、セキュリティソフトに検知
されづらい工夫を施したり、クラウドストレージサービスなどの組織の管理が
行き届いていない目新しいツールを装ってアクセスさせるケースが確認されて
います。
情報収集を達成した後の詐欺手法の詳細は
当社ブログ「電子メールサービスの特性を悪用する様々なビジネスメール
詐欺の手口を解説」[8]に掲載しているのでご確認ください。
また今後はディープフェイクなどの最新技術もBECの手法として盛り込まれて
いくことが予想[9]されています。
■BECへの対策
他のサイバー犯罪の手口とは異なり、フィッシング詐欺やBECは特定の受信者
を標的としているため、セキュリティ技術による検知が難しい場合があります。
その為BECの対策は、技術的対策と組織的対策を並行して実施することが重要
となります。
技術的対策においては、従来からある不正な添付ファイル、URL、スパムメール
などを検出してブロックする対策を始めとし、AIを利用してメール作成者の
書き方の癖を分析し、ソーシャルエンジニアリング攻撃を検出する技術や、
添付された不審なファイルの挙動を仮想アナライザに送信して安全性を検証
するサンドボックス機能など、
複数の防御技術を組み合わせて保護することを推奨します。
また、BECの攻撃に先んじてメールアカウントの乗っ取りが実施されることを
踏まえると、二要素認証などのセキュリティ機能を導入することも有効です。
組織的対策においては、フィッシング詐欺に関する従業員研修等を実施し、
全体のリテラシーを高めると同時に、送金などの重要業務実行の際は、
通常の担当者以外の承認をもらうなど第三者が確認するプロセスを導入する
ことを推奨します。
実際に2018年に行ったトレンドマイクロの調査[10]では、メール受信者以外が
詐欺を見抜いたケースが多数確認されています。
なお、残念ながらこれらの対策も、新しい技術の導入や攻撃者の新たな工夫に
よって、将来的に回避される可能性を含んでいます。
組織の継続的な安全性向上に向けては、攻撃手口の動向を継続的に観察して
いく必要があります。
[1] https://www.ic3.gov/Media/Y2022/PSA220504
[2] https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
[3] https://xtech.nikkei.com/it/atcl/column/14/346926/122001256/
[4] https://www.trendmicro.com/ja_jp/business/technologies/smart-protection-network.html
[5] https://www.trendmicro.com/ja_jp/research/22/f/trend-micro-partners-with-interpol-and-nigeria-efcc-for-operation.html
[6] https://www.dailyshincho.jp/article/2018/08291658/?all=1
[7] https://blog.trendmicro.co.jp/archives/19654
[8] https://blog.trendmicro.co.jp/archives/29272
[9] https://www.trendmicro.com/ja_jp/research/22/k/how-underground-groups-use-stolen-identities-and-deepfakes.html
[10] https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180814-01.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/bdf28zhn
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★2月22日開催、デジタルアイデンティティWGセミナー
「???とアイデンティティ|第4回IaaSとアイデンティティ」
参加受付を開始しました。
★マーケティング部会 サイバーセキュリティ職業紹介ビデオ
YouTube JNSA Channelで動画公開いたしました!!
https://www.youtube.com/@JNSAseminar
★CISO支援ワーキンググループ執筆
「CISOのための情報セキュリティ戦略」冊子版1/21発売されました!
https://gihyo.jp/book/2023/978-4-297-13294-1
【事務局からのお知らせ】
★情報セキュリティの向上に寄与、貢献した方を表彰する
2022年JNSA賞受賞者を発表しました。
また、2/2のJNSA設立20+(と)3周年記念講演会で表彰式を執り行いました。
https://www.jnsa.org/jnsaaward/2022/winner.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第255号
発信日:2023年2月3日
発 行:JNSA事務局 sec@jnsa.org
*************************************
こんにちは
JNSAメールマガジン 第255号 をお届けします。
メールマガジンはJNSAのホームページでもご覧いただけます。
JNSAメールマガジン https://www.jnsa.org/aboutus/ml.html#passed
コラム最後にワンクリックアンケートがあります。
ぜひこのコラムの感想をお寄せください。
今回のメールマガジンは
トレンドマイクロ株式会社 セキュリティマーケティンググループ
平田健剛様にご寄稿いただきました。
【連載リレーコラム】
ビジネスメール詐欺による被害
トレンドマイクロ株式会社 セキュリティマーケティンググループ
平田健剛
■ビジネスメール詐欺による被害
2022年5月、米連邦捜査局(Federal Bureau of Investigation、FBI)は、
「ビジネスメール詐欺(Business Email Compromise、以下BEC)」による被害が
2021年までに世界で総額430億米ドルに到達したことを報告[1]しています。
また、「Internet Crime Report 2021」[2]においては、
2021 年のサイバー犯罪に関する金銭的損失のうち、
BECが最も大きな割合(35%)を占めていることを発表しています。
なぜこれほどまでにBECが甚大な被害をもたらしているのか、その理由は
「簡単に大儲けできるから」です。
他のサイバー犯罪では、複雑でコストのかかる攻撃ツールや専門的な技術知識
が必要になります。
一方BECは、標的とする人の心理の理解と、標的組織の内部事情に関する十分
な情報さえあれば攻撃を成功させることができる為、攻撃者にとって費用対
効果に期待が持てるものとなっています。
BECは、日本では2017年12月、日本の航空会社に億単位の被害が出た[3]ことで
一躍注目されましたが、近年被害が多発している「ランサムウェア」ほどの
知名度や認知はない印象を受けます。
しかし、先ほどの「Internet Crime Report 2021」において、BECによる
損失額は同年ランサムウェアの損失額の約49倍に上ったことが示されています。
これはBECが無視できない脅威の1つであることを明示した数字であるといえる
でしょう。
■トレンドマイクロのセンサーデータに見るBECの発生傾向
トレンドマイクロが保有するクラウド型のセキュリティ基盤
Trend Micro Smart Protection Network(SPN)[4]では、世界中の脅威情報を
ビッグデータとして収集しています。
SPN上では悪意があると判断されたメールの中から、件名や書き方の癖などを分析し
トレンドマイクロ独自の抽出条件で、BECが試みられた件数を算出しています。
本データによれば2020年に約7.3万件、2021年には約14.6万件、2022年1-9月では
約21万件と
BECが試みれた件数は毎年大きく増加していることがわかっています。
その増加傾向から2023年以降もBECによる脅威は継続すると予想しています。
またBECの主要な手口の1つとして「CEO詐欺」という社内の経営幹部になり
すます手法があります。
このCEO詐欺が発生した件数に関して、SPNを用いて地域別に見た場合、
2018年~2021年の間の発生地域はアメリカ、イギリス、カナダ、ニュージー
ランドなどがその割合の多くを占めていました。
これは、現在のCEO詐欺の主な対象が英語圏の国々に集中していることを
示しています。
逆に言えばアジア圏などは言語的な障壁に守られて、詐欺被害が少ない状況に
あるとも捉えることができます。
■日本におけるBECの脅威
では、現状日本においてBEC詐欺は警戒に値しない脅威と捉えてよいでしょうか。
確かに、2022年6月に逮捕されたナイジェリアのBECグループ[5]は、その主な
攻撃対象が中東地域でした。
これは攻撃者の言語圏に近い国が狙われる傾向にあるものと言えます。
ただし、同時に業務上外国語を使用することが多い組織、
つまり海外と取引を行う企業や海外拠点を持つ企業はBECに狙われる可能性が
高いとも言えます。
実際に序章で紹介した日本の航空会社の事例や2018年のドルチェ&ガッバーナ
の日本法人で発生した数億円規模の事例[6]は、
海外取引先や本社とのやりとりの際に発生したものです。
また、2018年時点ですでに日本語でのBEC攻撃キャンペーンが確認されています。[7]
つまり、言語的障壁は絶対ではなく、BECも警戒すべき脅威の一つであると
認識すべきです。
■BECの手口
国内の報道では、「企業向けの振り込め詐欺」などと表現されるBECですが、
この表現は非常にわかりやすい反面、実態と異なるものである可能性があります。
BEC では巧妙に作られたメール文面や物語じみたやりとりの経緯などに目が
行きがちですが、そうした巧妙化を実現するための前段階として、攻撃者は
特定の企業の「情報収集」を行っています。
つまり、BEC の被害が発生する背後には必ず、情報を収集するためのサイバー
攻撃やソーシャルエンジニアリングなどが実施されています。
BECの成功率を上げるために、攻撃者が最も手に入れたい情報は業務メールの
情報です。
業務メール情報を盗み出すために行う攻撃としては、標的型メール等を使った
「マルウェア感染」による窃取と、「フィッシング」による詐取の 2 つに
大別できます。
特にフィッシングによるアカウント詐取の手法は、代表的なメール内リンク
から不正URLに飛ばす手法に加えて、通常のPDFファイルを添付しPDF内に
リンクを埋め込む、HTMLファイルを添付するなど、セキュリティソフトに検知
されづらい工夫を施したり、クラウドストレージサービスなどの組織の管理が
行き届いていない目新しいツールを装ってアクセスさせるケースが確認されて
います。
情報収集を達成した後の詐欺手法の詳細は
当社ブログ「電子メールサービスの特性を悪用する様々なビジネスメール
詐欺の手口を解説」[8]に掲載しているのでご確認ください。
また今後はディープフェイクなどの最新技術もBECの手法として盛り込まれて
いくことが予想[9]されています。
■BECへの対策
他のサイバー犯罪の手口とは異なり、フィッシング詐欺やBECは特定の受信者
を標的としているため、セキュリティ技術による検知が難しい場合があります。
その為BECの対策は、技術的対策と組織的対策を並行して実施することが重要
となります。
技術的対策においては、従来からある不正な添付ファイル、URL、スパムメール
などを検出してブロックする対策を始めとし、AIを利用してメール作成者の
書き方の癖を分析し、ソーシャルエンジニアリング攻撃を検出する技術や、
添付された不審なファイルの挙動を仮想アナライザに送信して安全性を検証
するサンドボックス機能など、
複数の防御技術を組み合わせて保護することを推奨します。
また、BECの攻撃に先んじてメールアカウントの乗っ取りが実施されることを
踏まえると、二要素認証などのセキュリティ機能を導入することも有効です。
組織的対策においては、フィッシング詐欺に関する従業員研修等を実施し、
全体のリテラシーを高めると同時に、送金などの重要業務実行の際は、
通常の担当者以外の承認をもらうなど第三者が確認するプロセスを導入する
ことを推奨します。
実際に2018年に行ったトレンドマイクロの調査[10]では、メール受信者以外が
詐欺を見抜いたケースが多数確認されています。
なお、残念ながらこれらの対策も、新しい技術の導入や攻撃者の新たな工夫に
よって、将来的に回避される可能性を含んでいます。
組織の継続的な安全性向上に向けては、攻撃手口の動向を継続的に観察して
いく必要があります。
[1] https://www.ic3.gov/Media/Y2022/PSA220504
[2] https://www.ic3.gov/Media/PDF/AnnualReport/2021_IC3Report.pdf
[3] https://xtech.nikkei.com/it/atcl/column/14/346926/122001256/
[4] https://www.trendmicro.com/ja_jp/business/technologies/smart-protection-network.html
[5] https://www.trendmicro.com/ja_jp/research/22/f/trend-micro-partners-with-interpol-and-nigeria-efcc-for-operation.html
[6] https://www.dailyshincho.jp/article/2018/08291658/?all=1
[7] https://blog.trendmicro.co.jp/archives/19654
[8] https://blog.trendmicro.co.jp/archives/29272
[9] https://www.trendmicro.com/ja_jp/research/22/k/how-underground-groups-use-stolen-identities-and-deepfakes.html
[10] https://www.trendmicro.com/ja_jp/about/press-release/2018/pr-20180814-01.html
#連載リレーコラム、ここまで
<お断り>本稿の内容は著者の個人的見解であり、所属団体及びその業務と
関係するものではありません。
<ワンクリックアンケートお願い>
今回のメールマガジンの感想をお寄せください。
https://tinyurl.com/bdf28zhn
※googleアンケートフォームを利用しています。
【部会・WGからのお知らせ】
★2月22日開催、デジタルアイデンティティWGセミナー
「???とアイデンティティ|第4回IaaSとアイデンティティ」
参加受付を開始しました。
★マーケティング部会 サイバーセキュリティ職業紹介ビデオ
YouTube JNSA Channelで動画公開いたしました!!
https://www.youtube.com/@JNSAseminar
★CISO支援ワーキンググループ執筆
「CISOのための情報セキュリティ戦略」冊子版1/21発売されました!
https://gihyo.jp/book/2023/978-4-297-13294-1
【事務局からのお知らせ】
★情報セキュリティの向上に寄与、貢献した方を表彰する
2022年JNSA賞受賞者を発表しました。
また、2/2のJNSA設立20+(と)3周年記念講演会で表彰式を執り行いました。
https://www.jnsa.org/jnsaaward/2022/winner.html
★JNSA事務局を騙った詐欺事件が発生しています。
当協会から個人の方へ金銭のご請求を行うことはございません。
お心当たりのある方は最寄りの警察署に御相談下さい!!
★リモートワークに活用ください!
「緊急事態宣言解除後のセキュリティ・チェックリスト」
https://www.jnsa.org/telework_support/telework_security/index.html
☆コラムに関するご意見、お問い合わせ等はJNSA事務局までお願いします。
sec@jnsa.org
☆メールマガジンの配信停止は以下URLの「解除」よりお手続き下さい。
配信停止連絡 <https://www.jnsa.org/aboutus/ml.html>
*************************************
JNSAメールマガジン 第255号
発信日:2023年2月3日
発 行:JNSA事務局 sec@jnsa.org
*************************************