ゲッティイメージズ
人事部長は冷静さを保ち、安心させようとしましたが、それでも一瞬パニックになりました。どこかで誰かがロバートの給料を盗もうとしたのです。
住宅ローンを抱えている人なら誰でも知っているように、給料日を1、2日遅らせるだけでも大変な事態になりかねません。マネージャーは、ロバート(本名ではない)から届いたと思われるメールを受け取りました。送信元はロバート本人のメールアドレスで、署名は彼の標準的な社内メールと同じで、細部に至るまで完璧でした。
メールは、グローバルPR会社エデルマンのロンドンオフィスで働く人事オペレーションマネージャー、ジョニー・リアロイド氏に、ロバート氏の銀行口座情報を変更するよう指示するものだった。「ただの礼儀上の連絡です。ご心配なく。このメールはIT部門によってフィッシング攻撃としてフラグ付けされています。銀行口座情報の変更はご遠慮いただいていると思いますが?」とリアロイド氏は尋ねた。ロバート氏は確かに変更を望んでいなかった。
こうしたタイプのメールフィッシング詐欺は目新しいものではありません。しかし、今回の詐欺は一味違います。ITセキュリティの専門家はこれをビジネスメール詐欺、略してBECと呼んでいます。ある従業員が上司からメールを受け取り、大型取引や買収のために多額の資金を特定の口座に即時送金するよう要求されます。ただし、メールの送信者は偽者です。
多くの有名企業がこの種の詐欺の被害に遭っています。FBIの最近の調査によると、過去5年間で世界中の企業がBEC攻撃によって95億2000万ポンドの損害を被っています。これはあらゆるタイプの企業に影響を及ぼす可能性があります。昨年、イタリアのトップサッカークラブ、ラツィオは、200万ポンドの移籍金を詐欺師に送金しました。英国では、グラスゴーに拠点を置くピーブルズ・メディア・グループが、約20万ポンドを犯罪者に送金したとして、元従業員を提訴しています。
常に一歩先を行くため、攻撃者はバリューチェーンの下流へと移動し、ロバートのような経営幹部を標的に、給与明細を直接狙っています。通常、攻撃者は人事担当者に依頼し、比較的少額(数百ポンド程度)を別の銀行口座に振り替えてもらいます。毎月の振り替えが気づかれないようにするためです。これは非常に目立たない手法であり、従業員が気づいて警告を発したときには、すでに手遅れです。ロバートの場合、詐欺師は給与支払いの直前に行動を起こし、給与全額を振り替えようとしました。「従業員の給与支払いを傍受しようとするBEC攻撃に遭遇したのは今回が初めてです」と、Redscanのサイバーセキュリティ担当ディレクター、マーク・ニコルズ氏は述べています。
エデルマンは大企業であるため、IT部門にはすべてのメールアドレスを自動的にスキャンし、社内から送信されたものか、社外のメールアドレスに送信されるものかを判断するソフトウェアが導入されています。そのため、たとえメールが本物のメールアカウントから送信されたように見せかける「なりすまし」であっても、ソフトウェアはそれを見分けることができます。
しかし、小規模な企業はそれほど幸運なケースは稀です。ソフトウェアチェックがほとんど行われていないため、人事部長一人による目視による調査とIT脅威への意識が、唯一の防御線となる可能性も十分にあります。「小規模な企業では、このような攻撃は深刻な脅威となり得ます」とリアロイド氏は言います。エデルマンでは、過去2週間だけで4件のフィッシング詐欺を自ら阻止しました。「人事部の同僚ともこの件について話しましたが、この種の詐欺が増加していることは明らかです」と彼は付け加えます。
人事マネージャーを狙うという手法自体は斬新ですが、それでもビジネスメール詐欺(BEC)であることに変わりはなく、犯罪者の創造性がますます高まっていることを示しています。セキュリティ企業Agariは今年1月に初めてこの詐欺に気づきました。彼らは主に経営幹部を標的とし、企業のCEOになりすますケースが目立ちました。「最近、なりすましの標的がより多様化しているキャンペーンを目にしています」と、Agariの脅威調査担当シニアディレクター、クレイン・ハッソルド氏は述べています。「これは、2018年初頭に非常に蔓延した、過去の給与計算転用フィッシングキャンペーンの進化形でもあります」とハッソルド氏は付け加えています。
AIサイバー防御企業Darktraceは最近、ロサンゼルスの映画制作スタジオを標的とした攻撃を捕捉しました。信頼できるサプライヤーの担当者のアカウント情報が侵害されたことが発端です。犯罪者は、担当者とスタジオの従業員との過去のやり取りを読み解き、会話の典型的な口調やスタイルを学習し、その従業員の最新のメールにもっともらしい返信を送信しました。「本物のメールとほとんど区別がつかなかったのですが、悪意のあるリンクが含まれていました。おそらくVIPの給与情報を入手することが目的だったのでしょう」と、Darktraceの脅威ハンティングディレクター、マックス・ハイネマイヤー氏は述べています。「この種の攻撃はますます蔓延しており、検知が非常に困難です。」
BECが蔓延している理由の一つは、Office 365やGoogle Businessなどのクラウドサービスを利用する企業が増えていることだとニコルズ氏は指摘する。クラウドシステムはマルウェアを検出する傾向があるため、詐欺は従来のフィッシング攻撃(認証情報の取得やマルウェア感染の試み)から進化し、標的とのより高度なやり取りを伴うソーシャルエンジニアリングが必要となる。「攻撃者はユーザーになりすまし、実際に標的とやり取りする必要があり、そのためには相当な調査と計画が必要になることが多い」とニコルズ氏は指摘する。
残念ながら、詐欺師に送金された資金を回収する方法はあまりありません。「ほとんどの場合、銀行は送金された資金を返金しません。そのため、組織がサイバー保険に加入していない限り、補償を受けることはできません」とニコルズ氏は言います。金銭的損失を回避するには、予防と検知が最善策です。
企業にとって、これは人事部やその他の従業員に対し、なりすましのメールアドレスから、表現や言葉遣いの不一致に至るまで、新世代のフィッシング攻撃を見抜くためのトレーニングを行うことを意味します。例えば、リアロイド氏によると、ロバート氏になりすましたメールはほぼ完璧に見えましたが、署名のフォントがわずかに異なっていることに気づいたそうです。経験の浅い人事担当者であれば、簡単に見落としていただろうと彼は付け加えます。もちろん、IT部門はすべてのシステムを最新の状態に維持し、最新のセキュリティパッチを適用する必要があります。また、すべての機密情報は当然のことながら暗号化する必要があります。
常に一歩先を行くために、人事部門は詐欺検知に使用するテクノロジーもアップグレードする必要があります。例えば、人工知能(AI)は「『信頼できる従業員』が攻撃者に乗っ取られたアカウントであることを示す弱い兆候を識別できる」可能性があるとハイネマイヤー氏は述べています。「悪意のある攻撃を検知してから数秒以内に、AIは脅威の拡大を阻止するだけでなく、人事部門の他のメンバー、そして会社全体がそもそも攻撃を受けるのを防ぐことができます」と彼は付け加えています。
この記事はWIRED UKで最初に公開されました。
