日本も狙われる「企業を狙った振り込め詐欺」

江添 佳代子

December 21, 2017 12:00
by 江添 佳代子

昨年、一般企業を襲う身近なセキュリティ問題として注目された脅威といえば、「ランサムウェア」と「BEC詐欺」だった。The ZERO/ONEも、これらの2つの脅威に関する話題を何度かお伝えしている(基本的なBEC詐欺の解説はこの記事を参考)。とりわけ「BEC詐欺」(Business E-mail Compromise:ビジネスメール詐欺)は、幅広い業種に莫大な額の損害をもたらす脅威でありながら、あまり対策が打たれていない犯罪であるため、その巧妙な手口についても紹介してきた。しかし被害者となるのは主に北米の企業や組織(および英語圏の企業や組織)だというせいもあってか、日本国内ではBEC詐欺の問題がそれほど大きく論じられていない。

増加するBEC詐欺

BEC詐欺の話題が最も深刻そうに報じられていたのは、おそらくFBIがBEC詐欺の急増を伝える注意喚起を行った2015年夏から1年ほどの間だろう。当時と比べると、最近では北米の大手ニュースの見出しで「BEC詐欺」の文字を目にする回数は減った。その脅威は、すでに沈静化に向かっているのだろうか?

決してそんなことはない。実際には現在も数多くのBEC詐欺が発生している。そのためFBIは今年2月、新たに「より初心者向けの分かりやすい警告」の資料を発表したほどだ。政治や国際の派手なニュースに押しやられがちになっているせいなのか、以前ほど大きく騒がれることはなくなったが、BEC詐欺は相変わらず深刻な被害を生み続けている。むしろ昨年よりも今年のほうが、よほど不安な状況だと言って良いだろう。

FBIが作成した、初心者向けBEC詐欺対策のページ

なぜなら今年に入ってから発表された複数のレポートは、いずれも今後のBEC詐欺がますます深刻化することを予感させるような内容となっているからだ。ここでは2つのレポートについてお伝えしたい。まずは、The Association for Financial Professionals(AFP)がJ.P.モルガンの協力を得て今年4月に発表した調査報告書「2017 AFP Payments Fraud Survey」を紹介しよう。
 
※参考:BEC詐欺の概要、および過去の事例を示した過去のTHE ZERO/ONE記事
経営者を装ったオレオレ詐欺!? FBIが警告する「BEC詐欺」が激増中
メール1本で46億円を盗難! 欧州を舞台にした巨額BEC詐欺

BEC詐欺と「小切手詐欺」の増加

「AFP Payments Fraud Survey」は、企業における支払い詐欺の現状や傾向を伝える調査の年次レポートだ。2005年から続いている当レポートの最新版には、ちょっと気がかりな統計結果が示されている。まず企業の決済を狙った詐欺は、「劇的な増加を記録した前回の報告(2016年発表)」から、さらに1%増加したことが確認されている。そして547名の調査対象者のうち、昨年「自社にBEC詐欺を仕掛けられた」あるいは「実際にBEC詐欺の被害を受けた」と答えた回答者の数は、全体の74%にも及んだ。これは前回の調査と比較して10%の増加となる。

「2017 AFP Payments Fraud Survey」の内容を伝えた金融系メディアの報道の多くは、「小切手詐欺の件数の増加」に大きく注目した。これは2010以降、ずっと減少傾向にあった「紙の小切手を利用した詐欺」が、今年の調査では急増したという興味ぶかい統計である。そのため、BEC詐欺が昨年から10%増加したことよりも、小切手詐欺に関する驚きの結果のほうに注目が集まりやすくなったのかもしれない。

しかし思い出してほしいのは、BEC詐欺が「必ずしも電子送金を利用するものではない」という点だ。以前にもお伝えしたとおり、BEC詐欺では小切手の送金が利用されたケースも報告されている。BEC詐欺に携わる犯罪者たちは、送金の試みを一回で成功させるため、標的の入念なリサーチを事前に行ったうえで、より合理的に、より不自然ではない形で素早く大金を騙し取るための工夫をこらす。つまり「多くのインターネットユーザーを騙して少しずつ金を巻き上げる犯罪」とは全く発想が異なっているため、デジタルの利便性はそれほど重視されない。

BEC詐欺と聞くと「企業を狙った高度な標的型攻撃」という印象を持たれてしまうかもしれないが、実際のBEC詐欺は人間の心理を大いに利用し、サイバー攻撃とローテクなトリックの両方を巧妙に組み合わせて行われる詐欺だ。「この企業の場合、重役が『いますぐ海外の銀行口座へ電子送金しろ』とメールで依頼するのは不自然になる」と判断されたときには、あまり近代的に感じられないツール(小切手や電話など)が選ばれる。この点を忘れていると、思わぬ落とし穴に嵌まってしまうだろう。まして紙の小切手が詐欺のトレンドであるなら、このような「サイバー犯罪者が選びそうにない手法」がBEC詐欺で選択される可能性は今後も上昇することが見込まれる。

「最後の3ヶ月」の爆発力

このAFPの報告よりも、さらに不安を煽るようなレポートがある。標的型攻撃対策で知られるセキュリティ企業「Proofpoint」は、自社のクライアント5000社以上に対して試みられたサイバー攻撃に関する研究を行い、その最新の結果を今年3月に発表した

こちらのレポートでは「2016年10月〜12月の3ヵ月間で、BEC詐欺の試みを経験した顧客は、調査対象全体の75%」という結果が報告された。この割合は、AFPが発表した「74%」とほぼ同じなのだが、注目してほしいのは調査の期間だ。AFPが「1年間の攻撃」について報告したのに対し、Proofpointは「わずか3ヵ月の間に」75%もの企業がBEC詐欺を経験したと伝えている。

Proofpointの報告によれば、2016年10月〜12月の3ヵ月間で企業を狙ったBEC詐欺の数は、その前の3ヵ月(2016年7月〜9月)と比較して45%も上昇している。先のAFPが報告した「2016年の年間の件数」は昨年比で10%の増加だったが、Proofpointの報告からは最後の3ヵ月の追い込みが強烈であったことが窺える。つまりBEC詐欺の数は、尻上がりに増加したと考えられる。

また同社のレポートは、「BEC詐欺の報告の件数」と「報告した企業のサイズ」との間に目立った傾向が見られないという結果も示した。つまり大企業・中小企業の両方が攻撃対象となっており、どちらかが被害を受けやすい/受けにくいとは言えない。その理由について同社は、「財務管理が厳しい傾向があるものの、詐欺が成功すれば巨額の送金を見込める大企業」と、「それほど大きな送金には望めないが、財務管理が緩くなりがちな中小企業」のいずれもが狙われるためだろうと分析している。

日本は大丈夫なのか?

BEC詐欺は、いまだに「米国を中心とした英語圏の国の詐欺」だと捉えられがちな傾向がある。しかし FBIは2015年8月の時点で、すでに「少なくとも79の国々の法執行機関が」BEC詐欺に関する報告を受けたと伝えていた。また2016年9月にはドイツとルーマニアを舞台として巨額のBEC詐欺が発生したことも過去にお伝えしたとおりである。現在も活動の勢いを増しているBEC詐欺師たちが、これから日本に手を伸ばす可能性はそれほど低くはないだろう。あるいは日本国内にいる詐欺師が、この手法をそっくり真似ることも考えられる。

日本の企業ではBEC詐欺に対する注意喚起があまり行われていないうえ、欧米諸国の企業よりも「上司に逆らいづらく、きびきびした行動が要求される」という傾向が強い。また、いますぐに送金してほしいと急かすタイプの詐欺に対して、日本人の耐性が決して強くないことは「振り込め詐欺」で証明済みだろう。振り込め詐欺は10年以上前から延々と注意喚起が行われてきた犯罪であるため、ほとんどの日本人に知られている。それでも、昨年は一人の女性が総額5億7000万円を詐欺師に振り込んでしまう事件が報告された。

そして、その不安は現実のものとなりつつある。日本でもBEC詐欺の被害が増えているという。12月20日、日本の大手航空会社が3億8000万円の振り込め詐欺にあったと発表した。報道によると、取引先になりすました人物から「航空機のリース料を支払う口座を変更する」というメールが担当者に送られ、担当者は4日後の支払期日に指定された口座に3億6000万円を送金した。同社では8月と9月にも、米国にある貨物事務所になりすましメールが送られており、合計2400万円を振り込んでしまったという。

もしもBEC詐欺が日本企業に対して頻繁に行われるようになった場合、あるいは「海外の本社から送金を求められる」などのシナリオで直営日本法人がターゲットとなった場合は、かなり深刻な事態となりかねないのではないだろうか。

江添 佳代子

江添 佳代子

ライター、翻訳者。北海道生まれ、東京育ち、カナダ・バンクーバー在住。インターネット広告、出版に携わったのち現職。英国のITメディア『The Register』のセキュリティニュースの翻訳を、これまでに約800本担当してきた。
THE ZERO/ONEの記事を中心に、ダークウェブをテーマにした『闇ウェブ』(文春新書)の執筆に参加。

BugBounty.jp

必要な情報を収集・分析脅威リサーチ

サイバー攻撃に関連した機密情報や個人情報が漏洩していないかをダークウェブも含めて調査し、もし重要な情報が発見された場合は、その対応策についてもサポートします。また、サイバー攻撃者のコミ ュニティ動向を分析し、特定の業種や企業を狙った攻撃ツールやターゲットリストが出回っていないかなどの特殊な脅威調査も請け負っています。

公衆無線LANを悪用した暗号通貨マイニング術

January 19, 2018 08:00

by Zeljka Zorz

何も疑っていないユーザーのマシンを使って密かに暗号通貨のマイニングをさせることは、暗号通貨オーナーにとっての夢のような話だ。そして彼らの一部は、倫理的配慮を考えずにその夢の実現に取り組んでいる。 一般的に用いられる2つのアプローチは、コンピューターやウェブサイトを危殆化し、マイニングのソフトウェアを…

ベトナム政府が背後にいる!? ハッカー集団「APT32」の暗躍

January 15, 2018 08:10

by 牧野武文

アジア圏で暗躍するハッカー集団がいる。「APT32」あるいは「オーシャンロータス」(Ocean Lotus Group)と呼ばれる組織だ。どちらの名前も、観測をした研究者が命名したものであり、正式名称は不明だ。米セキュリティ企業ボレシティ(Volexity)は、ブログでこのオーシャンロータスが、ベト…

国内の言論統制が目的か? ベトナム人民軍のサイバー部隊「Force 47」(後編)

January 12, 2018 08:00

by 江添 佳代子

近年のベトナムとFacebook 前編でお伝えしたとおり、オンラインでの自由な発言を国民に許可していないベトナムは、中国やトルコなどの国とたびたび比較されてきた。しかし、これらの国々の中では比較的「ブロックが手ぬるいほう」だったと言えるかもしれない。 たとえばベトナムは2009年頃からFaceboo…