メール1本で46億円を盗難! 欧州を舞台にした巨額BEC詐欺

江添 佳代子

September 21, 2016 09:00
by 江添 佳代子

※お詫びと訂正:日本円の表記が「46億円」とするところ、「4600億円」となっておりました。お詫びして訂正いたします。

2016年8月12日、ドイツの大手電気機器メーカー「LEONI AG(以下LEONI)」が、BEC詐欺(CEO詐欺)の被害に遭ったことを報告した。4日後の8月16日、同社は詐欺の被害額が4000万ユーロ(約4600億円約46億円)であったことを伝えるとともに、その損害は同社の年間予測純利益に影響を及ぼさないということ、また同社のIT基板やデータのセキュリティにも影響が出ていないことをウェブサイトで発表した。しかし詐欺そのものについては調査中とされ、事件の詳細は語られなかった。

8月30日頃から、地元メディアの報道により、ようやくLEONIを襲った詐欺の詳しい手口が報道されはじめた。それは「いかにもBEC詐欺」と感じられるような内容であるのと同時に、この犯罪の周到さを改めて思い知らされるものでもあった。

北米圏で激増しているBEC詐欺については、今年の7月にも詳しく説明した(『経営者を装ったオレオレ詐欺!? FBIが警告する「BEC詐欺」が激増中』)。しかし今回の事件は欧州を舞台としたものだ。つまりBEC詐欺に対する注意喚起が北米ほど頻繁に行われてこなかった地域で「典型的なBECの手口」が用いられ、巨額の被害が発生した。日本にとっても他人事ではない事例なので、ぜひとも紹介しておきたい。

事件の背景と概要

まずは詐欺の被害者となったLEONIがどんな企業なのかを説明しよう。。来年で創業100周年を迎えるLEONIは、各種電気ケーブルやコードセット、ワイヤー、光ファイバー、配線システム、及びそれらの関連製品などを世界中に提供している業界第4位、欧州最大のメーカーだ。多種多様な同社の製品は、コンピューターや電化製品のみならず、BMW、メルセデス、ロールスロイスなどの車両の配線やケーブルとしても利用されている。

LEONIはドイツを拠点とする企業だが、同社のウェブサイトが提供している事業案内によれば、世界32ヵ国(うち欧州は17ヵ国)に7万6000人の従業員を抱えており、アジア大陸・アメリカ大陸・アフリカ大陸にも製造拠点や販売拠点を配置している。

そして今回のBEC詐欺の標的となったのは、本拠地のドイツではなく「ルーマニアにある一事業所」であったことが地元の新聞社によって明かされた。その新聞を追うようにして複数の地元メディアも事件の詳細を報じたらしいのだが、残念ながら筆者はルーマニア語を全く読めないので、ここでは国内の報道内容をまとめたルーマニア発の英語ITニュースサイト『SOFTPEDIA』による8月31日の記事を紹介したい

SOFTPEDIAによると、この巨額の詐欺事件の捜査を担当したのは、ルーマニア警察の捜査部門のトップ組織DIICOTであったという。その当局者曰く、当事件の犯人が「詐欺の標的」として選んだのは、ルーマニア北部の町ビストリツァにあるLEONIの事業所でCFO(最高財務責任者)を務めている一人の女性だった。

彼女の元に届いた詐欺メールは「ドイツの『LEONI最高経営幹部』のメンバーの一人から送られたものに見えるよう、慎重に作り上げられた偽のメール」だった。その内容や、文中で使われた言語については何も語られていないが、この詐欺メールは「同社の独自のポリシーに則った形式のもの」だったという。さらに犯人は、同社が利用している送金プロトコルを事前に理解したうえでメールを送っていた、とも伝えられている。

そして「ドイツの最高経営幹部から直々に送金の要請を受けた」と信じて疑わなかった彼女は、相手がメールで指定したとおりの銀行口座へ送金を行った。つまりは偽のメールに騙されて金を振り込んだ、という単純明快な事件である。

「いかにもBECらしい」詐欺の手口

BEC詐欺は「組織の大ボスになりすました詐欺師が、実在する中ボスにメールを送って海外送金を依頼するだけの、オレオレ詐欺のような犯罪」であるのと同時に、「その単純な手口を疑われることなく一発で成功させるために、綿密な事前調査を行い、最も有効な相手やタイミングをピンポイントに狙って行われる高度な詐欺」でもある(この「高度」な手口の詳細については以前の記事をご一読いただきたい)。

今回LEONIを襲った詐欺師は、本拠地ドイツの最高経営幹部のメンバーになりすまし、一事業所のCFOに送金を依頼した。つまり大ボスと中ボスの上下関係を利用するBEC詐欺の典型的な手法だ。また、犯人がLEONIの社内事情を知り尽くすために入念な事前調査を行ったことは確実なので、こちらもBECの定石を踏んだ手口だと言える。

たとえば、LEONIのウェブサイトの地理情報を見ると、ルーマニアにはビストリツァの他にも3つの事業所が存在していることが分かる。このページの案内を読むかぎり、4つの事業所はいずれも同じ「ワイヤリングシステム部門の事業所」だ。しかしSOFTPEDIAの記事によれば、ビストリツァ事業所以外の3つの事業所には送金を指示する権限が与えられていなかった。つまりルーマニア全土でLEONIの資金を大きく動かすことができる人物は、ビストリツァ事業所のCFOだけだった可能性が高い。今回の事件の詐欺メールは、その一人を狙って送信されている。

それよりもさらに気になるのは、送られた詐欺メールが「LEONIの独自のポリシーに則ったもの」であったという点だ。どのようなポリシーだったのかは説明されていないが、その「独自のポリシー(身内のルール)」に従ったメールであったため、受信者はそれを詐欺だと疑うことができなかったのかもしれない。

防御策が逆効果になる?

よく考えてみると、これは根の深い問題だ。たとえば詐欺を未然に防ごうとする組織が、CFOや財務担当者に向けて「本物と偽物のメールを見分けるために、このようなルールを設けました」と案内したり、「詐欺を防ぐために必ず××をチェックしましょう」と勧告したりする内容のメールを送ったとする。そして実際に彼らがBEC詐欺の標的になってしまった場合、この「BEC対策の連絡メール」は詐欺師にも読まれるだろう。なぜならBECの詐欺師は常套手段として、狙った組織の内情を綿密に調べるため、メールを送る前に必ず何らかの方法(マルウェアを仕込む、IDやパスワードを割り出すなど)で組織への侵入を果たし、内部データにアクセスするからだ。

そこで得られた「組織独自の対策」は、詐欺師にとって攻略のヒントになってしまう。身内しか知らないはずのルールに則った詐欺メールが届いた場合、あるいは「勧告されていたチェック項目」を上手にすりぬけた詐欺メールが届いた場合、受信者が本物だと信じてしまう確率は、対策を企てる前より高くなるはずだ。つまり中途半端な防御をすれば、かえって組織の首を絞めることになりかねない。

そして厄介なことに、このBEC詐欺では基本的に「技術的な出口対策」が立てられない。マルウェアに感染したコンピューターが、従業員の気づかぬうちに情報を外部へ漏洩するタイプのサイバー詐欺とは異なり、BEC詐欺は「送金したい」という明確な意志を持った人間が送金を行うため、それを技術的な対策で食い止めることができない。それならば、どのようにして防ぐべきなのか?

職員たちの警戒心と危機感を育てる手法として、また詐欺師たちによる事前調査を防ぐための手段として、標的型攻撃のトレーニング(標的型攻撃メールに似せた模擬メールを抜き打ちで配信し、引っかかった職員に注意を促すプログラム)には一定の効果があるだろう。しかしBEC詐欺で最終的に用いられる詐欺メールは、一般的な「標的型攻撃メール」よりもさらに見分けづらく(たとえば送信元のアドレスに細工をして「企業のCEOのアカウントから送られたものに見せかける」のではなく、実在のCEOのアカウントをハッキングし、それを乗っ取った詐欺師が「CEOとして送信する」ケースも多い)、さらにその詐欺メール自体にはマルウェアなどの有害なファイルが添付されない。「どこからどう見ても正規のメールにしか見えないメールで、海外の支社や関連企業の代表者から送金の指示を受けた場合、担当者はどのように行動するべきか?」を考え、それについてシミュレーションしたものでなければ、BEC詐欺の対策としての大きな効果は見込めないかもしれない。

犯罪者がBEC詐欺の標的として狙うのは、「英語圏を拠点とする企業」や「英語圏の職場で働いている人物」だけではないということ、そして言語の異なる国から送信されたメールでも巨額の送金詐欺が成立するということは、LEONIの事件で証明されている。今後、海外の事業所と英文メールでやりとりをする日本企業はますます増えるはずだ。とりわけ海外のエグゼクティブクラスの人物から届いたメールに舞い上がる前に、まずは「疑ってかかる習慣」を身につけることが重要ではないだろうか。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

システムに内在するリスクをチェックセキュリティ診断(脆弱性診断)

提供会社:スプラウト

企業や組織のWebアプリケーション、各種サーバー、スマートフォンアプリケーション、IoTデバイスなどの特定の対象について、内外の攻撃の糸口となる脆弱性の有無を技術的に診断します。外部に公開す るシステムを安心かつ安全に維持するためには、定期的なセキュリティ診断が欠かせません。

BugBounty.jp

サイバー空間の最新動向を分析脅威リサーチ

提供会社:スプラウト

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

続・日本人マルウェア開発の実態を追うハッカーとセキュリティ技術者は「文明」と「文化」ぐらい異なる

December 31, 2018 18:41

by 『THE ZERO/ONE』編集部

前回の「日本人マルウェア開発者インタビュー」では、マルウェアの開発者が「生身の人間」であることを知った。 一般社会のステレオタイプは、マルウェア開発者が「反社会的である」「孤独である」という印象を植え付けてきた。しかし前回の取材を通して、実際の彼ら(彼女ら)を見てみると社会に順応し、きわめて組織的で…

中国でライドシェア殺人事件が発生

May 22, 2018 08:00

by 牧野武文

5月6日早朝、中国版ウーバーの「滴滴出行」(ディディチューシン)のライドシェアを利用した女性が、運転手に殺害されるという痛ましい事件が起きた。ほぼすべてのメディアが連日報道する大事件となった。各交通警察は、中国人民公安大学が制作した「ライドシェアを利用する女性のための安全防犯ガイドブック」を配布して…