新たなサイバー犯罪組織が、ビジネスメール詐欺(BEC)を大量に仕掛けています。Abnormal Securityは、2021年2月以降、このギャング集団が様々な企業に対して約350件のBEC詐欺を実行したと報告しています。この攻撃は特定の業種をターゲットとするのではなく、無差別に大規模な組織を狙っており、数カ国にオフィスを展開しているグローバル企業の100社以上が標的となっています。
Abnormal Securityのこの最新のレポートは、このBEC攻撃の手口について以下のように分析しています。
「このサイバー犯罪組織の全ての攻撃は、似通ったものですが、しかし効果的な詐欺のプロの戦法が取られています。この攻撃でよく使われるシナリオは、標的となった従業員に対して自社が秘密裏に買収計画を進めていることを巧みに伝え、信用させた後にこの買収に必要な初期費用を支払うように、この標的となった従業員を巧みに誘導するといったものです。この攻撃は2つのステージで進められ、各ステージで別々の人物が登場します。最初に登場する人物は内部のCEOになりすまします。2番目の登場人物は、外部のM&Aを専門とする弁護士を装います。」
これは、日本で頻繁に発生しているオレオレ詐欺と同様です。いかに標的を信用させて、最終的には入金させる詐欺の基本的な手口です。
ナイジェリアは、古くからBEC詐欺などの組織的なソーシャルエンジニアリング詐欺が最も活発な拠点です。Abnormal Securityによると、過去1年間におけるBEC詐欺の74.2%がナイジェリアを起点としており、2番目に多い起点である英国の5.8%を大きく引き離しています。組織的なフィッシング詐欺でナイジェリアが突出している理由には、文化的および歴史的な複雑なルーツが考えられますが、今回、企業のM&Aをテーマとした詐欺を実施しているサイバー犯罪組織はナイジェリアとは全く関係がなく、イスラエルに拠点を置いていると考えられています。地理的に見て、これは特異なケースと言えるでしょう。
他の点でも、このキャンペーンはこれまでの詐欺とは大きく異なっています。BEC詐欺の多くは、企業の財務や経理担当者を狙いますが、この組織は、さらに上級の経営幹部を標的としています。
Abnormal Securityは、調査結果を以下のように分析しています。
「これらの攻撃で一貫しているキーワードの1つが内部機密です。最初の何通かのメッセージでは繰り返し、買収が成功するかどうかは、取引を秘密裏に進めることができるかどうかにかかっていることを強調します。やりとりされるメールでは、取引に関する情報が漏れると買収計画が頓挫すること、インサイダー取引とならないように、また、厳密に証拠を保全するために、すべてのコミュニケーションをメールのみで行う必要があると書かれている場合もあります。」
このサイバー犯罪組織は、最初のアプローチでは、企業の上級経営幹部(通常はCEO)になりすまします。続いて、外部の法律顧問(弁護士)を装ってコミュニケーションしてきます。攻撃の最終段階では、通常、WhatsAppが利用され電話での会話に移行します。このような会話は詐欺を成功させるために行われていますが、Abnormal Securityは、WhatsAppや電話が利用されるのは、詐欺に関するメールや紙に残る記録を最小限にする目的があると推測しています。
この事例は海外の企業のものですが、海外にオフィスを持つ日本の大手企業はこの教訓を学ぶことは不可欠です。このような攻撃は、すぐに日本にも展開されても、おかしくはありません。日本企業を狙って詐欺シナリオを作ることは極めて容易です。
オレオレ詐欺の防止のために、電話でお金の話がでたら詐欺と思えと日本の警察庁も広く注意喚起しています。企業としては、支払いや送金に関する内部規定(セキュリティポリシー)を具体的に規定してください。例えば、多額の金銭の支払いを指示する場合には、メール等の通信手段は利用しないことなどを定めたポリシーを策定することなどです。しかし、何よりもKnowBe4が提供しているセキュリティ意識向上トレーニングが大きな力になるはずです。KnowBe4がセキュリティ意識向上トレーニングで伝えている大原則「疑わしきは直ちに報告する」を、継続的なトレーニングを通して、繰り返し注意喚起してください。
原典:Stu Sjouwerman著 2023年5月10日発信https://blog.knowbe4.com/business-email-compromise-mergers-acquisitions
