このページの本文へ

ビジネスメール詐欺の被害にあわないためには ~知っておくべき手口と対策~トピックス・イベントレポート

キヤノンITソリューションズ
ゲートウェイセキュリティ企画本部
企画部企画三課
山崎 歩 氏

  • 所属・役職は2018年12月現在のものです。

法人組織へのサイバー攻撃のうち、実に88%がメール経由で行われています。メールを利用したサイバー攻撃は、ビジネスメール詐欺(BEC)、標的型攻撃、ランサムウェアに大別されますが、近年増加傾向にあり、警戒が必要なのがビジネスメール詐欺です。このワークショップでは、ビジネスメール詐欺の手口を解説するとともに、その対策に有効なソリューションを紹介します。

ビジネスメール詐欺とは

ビジネスメール詐欺(BEC:Business E-mail Compromise)とは、その名の通りビジネスメールを利用した詐欺です。標的となる企業の取引先や経営幹部になりすましたニセのビジネスメールによって、サイバー犯罪者の口座へ不正に送金させるという手口で、取引先になりすました「送金依頼詐欺」と、経営幹部になりすました「CEO詐欺」に大別されます。

ビジネスメール詐欺の現状

国内における調査では、全体の約4割がビジネスメール詐欺に関わると思われるメールを受信したことがあり、そのうち8.7%は実際に送金し、被害に遭ってしまったとのことでした。驚くべきは、その送金被害額の大きさで、被害に遭った人の約2割が1,000万円~2,000万円、そして1億円以上を送金してしまったという被害も9%に達しています。

山崎氏は、取引先になりすました送金依頼詐欺のおもな手口として、右図のようなシナリオを挙げました。

また、経営幹部になりすましたCEO詐欺のおもな手口は右図の通りです。

サイバー犯罪者が標的企業のメールを盗み見したり、インターネットから情報を収集するといったステップは取引先になりすました送金依頼詐欺と同様ですが、その後サイバー犯罪者は経営幹部になりすまし、ニセの送金指示メールを送ります。

ニセの送金指示メールは、CEOと弁護士や他社とのやりとりを引用して信憑性を高めるなど、非常に巧妙な文面となっており、一見して“なりすまし”とはわかりません。

ビジネスメール詐欺の中でも、CEO詐欺は2017年から2018年にかけて増加しており、2017年の第1四半期から2018年の第1四半期までの1年間で、4倍に増えています。山崎氏は、CEO詐欺について「1つの組織を標的としているので、内部のやりとりだけで完結するため、取引先など他社になりすますよりも容易に実行できる」ことが、近年の増加の理由を解説しました。

ビジネスメール詐欺では、盗み見したメールの内容を引用し、通常の業務メールに巧妙に似せたメールを送りつけてくるため、ニセのメールであることに気づきにくく、だまされてしまう可能性が高くなっています。また、メールにマルウェアや不正なURLが仕込まれているわけではないため、AIやサンドボックスといった次世代の技術であっても検知できません。

メール盗み見のおもな手口

サイバー犯罪者が、メールを盗み見るために使用する代表的な手口が、標的の端末をキーボードで入力した情報を盗む不正プログラム(キーロガー)に感染させて、認証情報や内部情報を盗み取る「キーロガーなどによる情報窃取」と、クラウドメールサービスを利用している企業に対してフィッシングメールを送りつけ、ニセのWebサイトなどに誘導してメールアカウントの認証情報を盗み取る「フィッシング詐欺による認証情報詐取(クレデンシャルフィッシング)」です。

その中でも近年増加傾向にあるのが、「フィッシング詐欺による認証情報詐取」で、トレンドマイクロの調べによれば、2018年上半期にフィッシング詐欺サイトに誘導された国内のインターネット利用者数は、前期と比較して約2.7倍に拡大しています。「フィッシング詐欺による認証情報詐取」では、サイバー犯罪者がフィッシングメールでクラウドメールサービスの利用者をニセのログイン画面に誘導し、ユーザーがニセのログイン画面であることに気づかずに入力してしまったメールアドレスやパスワードを盗み取る、というわけです。

なりすましメールのおもな手口

取引先や経営幹部を騙ってメールを送りつける「なりすましメール」では、返信先(Reply-To)の偽装、怪しいWebメール、DMARC認証のすり抜けを狙った正規のドメインに似せたニセのドメインの利用、そして送信元(from)の利用といった手口がよく用いられています。とりわけ、簡単に改ざんすることが可能な送信元(from)や返信先(Reply-To)の偽装は、なりすましメールで非常によく使用される手法で、全体の96%を占めるほどです。

ビジネスメール詐欺を防ぐための基本戦略

山崎氏は、ビジネスメール詐欺による被害を防ぐには、組織的な対策と技術的な対策の両方が必要である、と述べた上で、右図のような対策ポイントを挙げました。

トレンドマイクロが行った調査によれば、ビジネスメール詐欺のメールが届いたにもかかわらず、送金を行わなかった理由として、「受信者がなりすましメールであることに気づいたから」「セキュリティ対策製品によってなりすましメールであることに気づいた」が多くを占めています。このデータを見ても、ビジネスメール詐欺の被害を防ぐには、組織的な対策と技術的な対策の両方が必要であることは明らかです。

また、ビジネスメール詐欺でよく用いられる手口から必要な対策を考えれば、不正プログラム対策、Webゲートウェイ対策、二要素認証、メールサーバのセキュリティ対策、メールセキュリティといったメール盗み見対策と、DMARCをはじめとするドメイン認証とメールセキュリティ対策によるなりすましメールによる詐欺対策が求められます。

Office 365ユーザー向けソリューション「Inbound Security for Office 365」のすすめ

キヤノンITソリューションズが、ビジネスメール詐欺対策に有効なソリューションとして提供しているサービスが「Inbound Security for Office 365」です。

「Inbound Security for Office 365」は、2018年12月3日から「GUARDIANWALL Cloudファミリー」のひとつとして、Office 365ユーザー向けに提供されています。同サービスはトレンドマイクロ「Trend Micro Cloud App Security」を活用しており、クラウドアプリケーションとの連携によってメールやアップロードされたファイルの検査が可能です。

「Inbound Security for Office 365」で利用している「Trend Micro Cloud App Security」は、非常に高い検知能力を備えており、2017年にOffice 365標準のセキュリティ機能をすり抜けた脅威メール約340万件以上を検知しています。

「Inbound Security for Office 365」によるビジネスメール詐欺対策

このワークショップ内で、先にも述べられていますが、ビジネスメール詐欺対策には「メール盗み見対策」と「なりすましメール対策」が必要です。

「メール盗み見対策」では、トレンドマイクロのクラウド型セキュリティ基盤「TREND MICRO SMART Protection Network」が収集したインターネット上のさまざまな脅威情報を元にした、メール本文や添付ファイルに含まれるURLの危険度を判定して不審なURLを検出するとともに、メールや添付ファイルに記載されているURLが誘導するログイン画面が正規のログイン画面であるかどうかを精査します。さらに、これらの検査でも検知できなかった未知の脅威については、サンドボックスによる動的解析を行うことで、メールに記載されたURLが安全かどうかを判断することが可能です。

なお、ニセのログイン画面の検知では、メールに記載されたURLが誘導するログイン画面のファビコン、ログインボタン、入力欄などを解析し、偽装される頻度の高いログインページ(Office 365のログイン画面など)と比較するという、画像処理と機械学習を組み合わせた解析によって、ログイン画面の真偽を判定しています。

「Inbound Security for Office 365」における「なりすましメール対策」の大きな特徴は、機械学習を活用したなりすましメールの検出です。機械学習によって、メールのヘッダでねつ造されたドメインが使用されていないか、返信先の偽装が行われていないか、メール本文に緊急度の高さを感じさせる表現や、財務的な含みを持たせる表現、行動を喚起させるような表現といった、なりすましメールによく用いられる文章が使われていないかを検出し、危険なメールかどうかを判定します。

このように、「メール盗み見」と「なりすましメール」をおもな手口とするビジネスメール詐欺では、単一の対策ではなく、「Inbound Security for Office 365」のようにさまざまな防御を組み合わせた、多層防御が有効です。

「Inbound Security for Office 365」の運用

「Inbound Security for Office 365」は、Office 365のクラウドアプリケーションとAPIで連携します。そのため、従来のゲートウェイ型クラウドセキュリティのように、導入にあたってDNSの切り換えやメールを変えるといったネットワークの設定変更の必要がなく、比較的簡単に導入することが可能です。

障害が発生した場合、ゲートウェイ型クラウドセキュリティではメール配送を停止してしまうため、業務に大きな支障を来しますが、「Inbound Security for Office 365」の場合は障害によって停止してもメール配送には影響を与えません。

また、組織内部でやり取りされるメールはゲートウェイを通過しないため、ゲートウェイ型クラウドセキュリティではスキャンの対象外となってしまいますが、「Inbound Security for Office 365」なら内部メールもスキャンできます。同様に、SharePointやOneDriveもゲートウェイ型クラウドセキュリティでは別途対策が必要ですが、「Inbound Security for Office 365」なら追加料金なしでスキャン可能です。

導入にあたっての設定は、「ルール」「処理」「通知」の3つを決めるだけなので、複雑な作業が必要なく、システム管理者の負荷を軽減します。
事前の検証についても、アクションを起こさず検知時にログを取るだけの「放置モード」を利用することで、メール配送に影響を与えることなく検証を始められ、一定期間の検証の後に、ログを確認して本番運用の設定を決めることも可能です。
さらに、本番運用への移行後も、お客さまの契約形態に合わせて、キヤノンITソリューションズのサポートチームが設定調整を行います。

関連リンク

セキュリティに関するお問い合わせ