- 会員限定
- 2017/12/29 掲載
JALを襲った「3.8億円詐欺」は他人事ではない メールはもはや仕事では使えない?
メール詐欺は常態化している
JALが被害にあった攻撃は、BEC(Business E-mail Compromise:電子メール詐欺)と呼ばれるものだ。BECは2014年ごろから金融機関を中心に顕在化した攻撃で、主にソーシャルエンジニアリングを利用した攻撃だ。偽メールで相手を騙し、不正な送金をさせる。例えば、社長やその秘書などの名前を騙り、社長命の至急の資金と称して振り込みさせたり、支払先の変更を指示したりする。基本的な手法はソーシャルエンジニアリングだが、標的型攻撃などで侵入した攻撃者が、取引先とのメールやりとりを傍受し、現実の取引を装ったり、絶妙に割り込んで送金処理をハッキングしたりすることもある。メールサーバの乗っ取りが成功していれば、より高度ななりすましや偽装メールが送られてくるため、詐欺を見抜くのは難しい。
今回の事件は、BECではなくSCAM(手法を問わず詐欺全般)に分類する専門家もいる。背景や被害状況が明らかでない部分があり、厳密にSCAMなのかBECなのかの分類はできないが、報道などで分かっている範囲を整理すると以下のようになる(12月25日現在の情報)。
・偽メールは金融会社から機体のリース代金に関するもの
・差出人は正式な担当者アドレスの1文字違い
・メールの内容はリース代金の請求書と振込先の変更に関するもの
・請求書(PDF)は本物と同じ書式で作られていた
・偽メールは貨物の地上業務に関する委託料に関するもの
・香港の指定の口座に代金の振り込みを指示
標的型攻撃ですでに侵入されている可能性
以上の情報が正しいとして、CASE1は、典型的なソーシャルエンジニアリングによる詐欺といえる。アドレスは1文字違いで気付きにくく、本物のと見分けがつかない請求書で相手を騙している。JAL側は複数チェックでも正しい金融会社からの問い合わせ(代金未納の連絡)が来るまで詐欺と分からなかったという。億単位の振込先の変更を先方のメールだけで処理が進んでしまうのも問題だが、巧妙に仕組まれた詐欺であることは間違いない。
注目すべき点は、なりすました担当者の名前やメールアドレス、さらにその金融会社の請求書のフォーマットを把握したうえでの詐欺行為という点だ。メールアドレスの偽装方法はいくつもあるが、1文字違いがアカウント名であり、ドメイン名が正規の物だった場合、どちらかのメールサーバが乗っ取られている可能性もある。
CASE2は、正規の担当者にccでメールを送っているのに偽の返事を受け取っていることから、メールサーバが乗っ取られている、あるいは中間者攻撃によって標的のメールがモニタリングされている可能性が高い。JALおよび地上業務を委託されている会社は標的型攻撃による侵入(リモートツール、バックドア、管理者アカウント漏えいなど)を精査する必要がある状態だ。
一般論ではあるが、標的型攻撃において、標的のセキュリティレベルが高く侵入が困難な場合は、取引先などで防御が甘いところが狙われ、攻撃の足掛かりにすることがある。
【次ページ】 2018年はSCAM、BECが欧米並みに増えるかも。対策は困難、「メールを使わない」選択肢もある
関連コンテンツ
関連コンテンツ
PR
PR
PR