レポートについて
米国連邦捜査局(FBI)傘下の米インターネット犯罪苦情センター(Internet Crime Complaint Center:IC3)によると、2013年10月から2018年5月までの5年弱の間に発生したビジネスメール詐欺(Business Email Compromise:BEC)の報告件数は8万件弱、被害総額は約125億ドル(約1兆4000億円)に達しました。日本国内においても、2017年末に大手航空会社が約3.8億円の被害に遭ったとの報道※1があり、2019年に入っても、大手報道機関の米子会社が約32億円※2、大手製造企業の欧州子会社が約40億円※3の被害に遭ったとの報道がされました。日本国内で報道されるBECの被害事案は氷山の一角に過ぎず、被害額が比較的小さいものを含めると被害件数はかなり多数に上るとみています。
マクニカでは、2015年から2019年までに親会社(マクニカ・富士エレホールディングス)のグループ傘下に届いたBECだけでなく、マクニカ・富士エレグループを装って取引先へ届いたBEC、さらにはマクニカが提供するインシデント対応サービスにて対処したBEC事案を分析し、攻撃者が使う手口を明らかにしてきました。そして、今回、伊藤忠商事のITCCERT様※4(以下敬称略)のご協力を得て、世界中に展開する伊藤忠グループに日々届いたBECの分析結果を共有頂いたことで、攻撃者の手口や素性がより明らかになってきました。ITCCERTでは2014年からBECの監視を開始し、2017年には日本語で書かれたBECも観測しており、日本国内ではBECに関する最も深い知見を有している組織と言えます。伊藤忠グループおよびマクニカ・富士エレグループにて観測されたBECの実態については、2章で実例を交えて解説しています。
BECメールが届く前段階から、攻撃者による用意周到な準備段階があります。多くの場合、攻撃者が取引に割り込んで詐欺をはたらくには、取引状況の詳細を把握する必要があるため、様々な方法で電子メールアカウントに不正ログインを試みます。不正ログインした電子メールアカウントでやり取りされるメールを盗聴することで、効果的なタイミングでメールのやり取りに割り込み、詐欺をはたらくことができるのです。このように、用意周到な準備を経て、BECメールを届け、詐欺をはたらき、攻撃者が用意した口座へ振り込ませるまでの一連の流れをBEC Kill Chainとして3章にまとめました。
BECの対策に、特効薬はありません。ITシステム面での対策だけでなく、会計部門の気づきによる水際対策が非常に重要となります。現時点で一定の効果があると考えている対策を、ITシステム面および会計部門の観点から4章にまとめました。さらに、ビジネスメール詐欺に直面したときに必要なインシデント対応を5章にまとめました。
ぜひ下記よりご確認ください。
- ※1 https://piyolog.hatenadiary.jp/entry/20171220/1513795615
- ※2 https://www.nikkei.com/article/DGXMZO51583520Q9A031C1SHA000/
- ※3 https://www.asahi.com/articles/ASM965H5HM96OIPE02Q.html
- ※4 https://tech.nikkeibp.co.jp/it/atcl/column/16/080500167/081100004/
- 1 エグゼクティブサマリー
- 2 ビジネスメール詐欺の実態
-
- 2.1 取引先のCEOを装う
- 2.2 自組織のCEOからの社内メールを装う
- 2.3 類似ドメインの登録
- 2.4 フリーメールの悪用
- 2.5 日本語で書かれたBECメール
- 2.6 乗っ取ったメールアカウントをそのまま使うBECメール
- 2.7 偽装されたメール署名
- 2.8 LinkedInを使った接触
- 2.9 攻撃者の素性
- 3 ターゲティングから送金させるまでの一連の流れ(BEC Kill Chain)
-
- 3.1 OSINTによるターゲティング
- 3.2 メールアカウントへ不正ログイン
- 3.3 メールボックスの偵察
- 3.4 詐欺メールの送付
- 3.5 送金の説得
- 4 対策アプローチ
-
- 4.1 BECを経営課題と捉える
- 4.2 会計部門におけるチェックの強化
- 4.3 取引先への周知
- 4.4 多要素認証
- 4.5 フリーメールアドレスからの受信警告
- 4.6 フリーメールアドレスへの送信警告
- 4.7 送信元アドレスと返信先アドレスが異なるときに警告
- 4.8 信頼性の低いTLDからの受信検知
- 4.9 @の手前にTLDが入るアドレスからの受信検知
- 4.10 類似ドメインの検索
- 4.11 DMARC
- 5 インシデント対応
-
- 5.1 銀行や法執行機関への連絡(送金の取り戻し)
- 5.2 メールアカウントが侵害されていないか確認
- 5.3 マルウェア感染がないか確認
- 5.4 パスワードの変更
- 5.5 攻撃者が取得したドメインのテイクダウン
- 5.6 取引先との交渉と按分
レポート「ビジネスメール詐欺の実態と対策アプローチ」のダウンロード
(8.69MB/26P)
(13.4MB/26P)