システム導入のための意思決定サイト

キーワードで読み解く今どきのセキュリティ

JALがだまされたBEC、「人間の心理」の脆弱性を狙う

2018/01/29 中尾 真二=ITジャーナリスト

  • このエントリーをはてなブックマークに追加

 2017年末に、日本航空(JAL)が振り込め詐欺メールで3億8千万円もの被害にあったというニュースが流れた。実際に被害が発生したのは2017年8月から9月にかけて。JALでは、正規の取引先を偽装したメールの指示に従い、不正口座に送金してしまったという。また金銭被害は発生しなかったものの、類似の詐欺メールがスカイマークにも届いていたことも分かった。

 被害額が大きい攻撃が成功した結果、攻撃者側が見返りが大きいと認知したとしたら、国内でもBEC攻撃がさらに増える可能性もある。どんな攻撃なのか、対策方法はあるのか。改めて整理したい。

BECとは何か

 このような詐欺メールはBEC(Buisness Email Compromise)と呼ばれ、海外では以前から問題になっている攻撃だ。BECの定まった定義はないが、業務や取引に関連したメールを偽装してだます詐欺行為を指すことが多い。

 この事件が報じられたとき、大企業が「おれおれ詐欺」のような手口に騙されたと、JAL側の体制や業務システムの問題、認識の低さを指摘する声も聞かれた。

 しかし、上記のようにBECで使われるソーシャルエンジニアリングは、内部情報を把握したうえで慎重に計画される。通常なら取引相手しか知らない情報を持ったうえでなりすましを行うため、一般的に検知は困難だ。セキュリティに関する一定の知識があり、「自分は騙されない」と思っている人ほど危ないと言える。

 BECと呼ばれる場合、ばら撒き型の架空請求詐欺とは異なり、通常の取引メールの間に巧妙に割り込み、正規の業務メールと思わせる。業務プロセスや請求処理の流れを把握したうえでの攻撃が特徴だ。

 たとえば、振り込み処理中の従業員に対して、上長や社長をかたったメールで、振込先を不正口座に変更させる被害が起こっている。このとき攻撃者は、正規メールのやりとりを盗聴または監視しておいて、実際の請求があった直後に「いまの連絡は社長命令で変更になった」などと偽装メールを送る。

 JALの例では、リース料金や業務委託費について振込先変更のメールを送り、香港の不正口座に振り込ませることに成功している。さらに、振込先の変更依頼の書類が、本物と見分けがつかないように作られていた。スカイマークの事例では、担当者変更についてスカイマーク側が先方の別の正規アドレスをcc:に入れて確認したところ、cc:のアドレスから「正しい」という返信が届いている。

 劇場型振り込め詐欺と同様に、リアリティのあるシナリオで相手をだますのもBECの特徴だ。

検知・対策がしにくい

1 2 3 次ページへ
次ページ以降は日経 xTECH Active会員(無料)の方のみお読みいただけます。
会員の方は、 ログインしてご覧ください。
まだ会員でない方は、ぜひ登録(無料)してください。

注目コンテンツ