Video Screencast Help
Security Response

数々の警告にもかかわらず、ビジネスメールに偽装して最高経営幹部を狙う詐欺が横行中

財務部門の上級社員を狙って多額の電信送金手続きをとるよう仕向ける、いわゆる「ホエーリング」詐欺が続いています。
Created: 11 Dec 2015 06:23:40 GMT • Translations available: English, 简体中文, 繁體中文
Symantec Security Response's picture
0 0 Votes
Login to vote

Header-image12.jpg

中小規模の企業で財務を担当する上級社員を狙って、電信送金でかなりの金額を支払うよう誘導する詐欺が後を絶ちません。この詐欺活動については、先日 FBI も各企業に対して警告を出していますが、シマンテックの Email Security.cloud では、今もこの活動が続いていることが確認されています。

大漁を狙うフィッシング

この詐欺活動の基本は、単純ながら効果的な手法です。標的とする企業の CEO から送信されたかのように偽装したメールを作成し、受信した従業員に対して、大至急で電信送金の手続きをとるよう依頼します。

こうしたビジネスメール偽装(BEC)詐欺は、「ホエーリング」とも呼ばれています。スピア型フィッシングメールの一種ですが、フィッシングより大きい標的、つまり上級社員(通例、最高経営幹部)を狙っているからです。シマンテックが確認したメールの大半は、攻撃者が最高財務責任者(CFO)に宛てて送信したものでした。

まず 1 通目のメールでは、緊急の電信送金手続きをとれるかどうかと CFO に確認します。CFO から返信があると、詐欺師は 2 通目のメールを送り、電信送金に必要な情報を知らせます。返信がない場合は、同じ CFO に 2 通目のメールを送ることもあれば、財務部門の別の従業員に標的を切り替えることもあります。標的とする個人についての情報は、LinkedIn で簡単に集められます。

figure1_transfer.png
図 1. CEO から送信されたように偽装し、電信送金の手続きをとるよう求める詐欺メール

ごく最近のバージョンでは、買収を実現するために支払いが必要だと理由を長々と説明するケースもありました。最後に詐欺師は、支払いの指示について弁護士から連絡があると告げます。

figure2_Attorney.png
図 2. まだ発表されていない企業買収に電信送金手続きが必要だと説明する

メールの作成

BEC メールは、同じ書式を使っているのが普通です。どのケースも、標的とした企業の CEO から送信されたメールに偽装しており、これは次のいずれかの手順で行われます。

  • CEO のメールアカウントに侵入する。
  • CEO のメールアドレスになりすます。
  • 一種のタイポスクワッティングを用い、標的とした企業の実際のドメインと似たドメイン(たとえば、実際は mydomain.com の場合に myydomain.com というドメイン)をメールアドレスに使う。以前の記事でも紹介したように、こうした紛らわしいドメインは、メールの送信と同じ日に登録されている場合がほとんどです。

そのうえで、詐欺師は疑いをもたれないように、単純なトリックを使います。たとえば、CEO は出張中あるいは会議中のため電話には出られない、と書かれているのが典型的な例です。メールに、「sent from my iPad(iPad から送信)」と追記するのも常套手段です。これは、送信者が移動中であることを強調するため、あるいは不備の多い本文について予防線を張るためだろうと考えられます。

figure3_bad_english.png
図 3. 「iPad から送信」と追記して、不備の多い本文について予防線を張る

一攫千金を狙う

BEC を利用する攻撃者は、一般消費者ではなく上級役員を狙います。そのほうが、容易に大きい金額をだまし取れるからです。古典的な 419 詐欺は、少額の金銭を要求する一方、多方面に網を広げるのが普通でした。BEC では、メールの標的を限定し、電信送金で要求する額が大きくなっています。なかには、37 万ドル以上を送金するよう求めてくるケースもありました。

figure4_300000_transfer.png
図 4. 37 万ドル以上の送金を求めた詐欺の例

1 回の要求額が大きいため、詐欺師は成功回数が少なくても利益を上げることができます。FBI の推定では、BEC による損失額は 2013 年 10 月から 2105 年 8 月の間で 12 億ドル以上に達すると見られています。これほどの見返りがある以上、BEC 詐欺がすぐに収まる見込みはまずありません。

対処方法

企業が BEC 詐欺から身を守るには、ユーザー教育が最も効果的です。

  • 異例と思われる、あるいは通常の手順を踏まない対応を依頼してくるメールは、疑ってかかる。
  • 疑わしいメールにはいっさい返信しない。会社のアドレス帳で送信者のメールアドレスを確認し、メールについて問い合わせる。
  • 電信送金の手続きには、2 段階認証を導入する。

BEC 詐欺に関する警告で、FBI からも推奨事項が提示されています。

BEC 詐欺の被害に遭ってしまったと考えられる場合には、速やかに財務部門と、地元の法執行機関に連絡してください。

* 日本語版セキュリティレスポンスブログの RSS フィードを購読するには、http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja にアクセスしてください。

【参考訳】