情報セキュリティマネジメントSummit
2019 Winter Review

開催日:2019年12月4日 会場:ホテル雅叙園東京

日立ソリューションズ

新たな脅威としてビジネスメール詐欺への対応策

ここ数年で、不特定多数を狙ったスパムメールやフィッシングメールとは異なり、ある特定の組織や個人に対して、経営層や取引先などになりすましてメールを送り、入金や口座変更をさせる「ビジネスメール詐欺」による被害が増えてきた。本講演ではその実態や特徴、対策などについて紹介した。

日立ソリューションズ ビジネスコラボレーション本部 インフラソリューション部 久保田 翔 氏 日立ソリューションズ ビジネスコラボレーション本部 インフラソリューション部 久保田 翔 氏

日立ソリューションズ

ビジネスコラボレーション本部
インフラソリューション部
第1グループ

久保田 翔

ビジネスメール詐欺となりすましによる被害の事例

 冒頭、久保田氏は本日の講演が、日立ソリューションズとTwoFiveとの合同講演であることを紹介。そして、「詐欺をするうえで、重要なポイントとはなんでしょうか。それは、相手を信用させることです」と、会場への問いかけから本講演は幕をあけた。

 では、どうやって相手を信用させるのか。そこには2つのポイントがあると、久保田氏は述べる。「1つは、信用できる商品や信頼できる人物であると錯誤させること。もう1つは、信頼できる人物になりすますことです」(久保田氏)

 続いて、IPA(情報処理推進機構)が発表している「情報セキュリティの10大脅威 2019」から引用し、その中で特に注目するべきなのが、「標的型攻撃による被害」「ビジネスメール詐欺による被害」「ランサムウエアによる被害」であると述べる。「この3点に共通していえることは、道具として電子メールを利用していることです。総務省の資料によると、日本ではスパムメールは減少傾向にありますが、一方で、フィッシングメールは増加傾向にあります。ビジネスメール詐欺は、企業や組織から金銭や大切な情報をだまし取ることを目的としてメールを利用した、サイバー犯罪なのです」と、久保田氏は警鐘を鳴らした。

ビジネスメール詐欺となりすましによる被害の特徴

 ビジネスメール詐欺の特徴について、「他のメール詐欺と異なり、被害額が非常に高いことです」と述べる。ここで、久保田氏は最近の具体的な被害事例を挙げ、「ある航空会社は、取引先になりすました犯人から“なりすましメール”を受け取り、約3億8000万円をだまし取られました。また、ある外資系ブランドの日本法人担当者は、パリの経理部長になりすましたメールによって、280万ドルを犯人に送金してしまいました」と実態を紹介した。「ビジネスメール詐欺の場合、だまされない対策だけでなく、なりすまされない対策も必要なのです」と、ビジネスメール詐欺の怖さとして、なりすまされた側にも大きな被害が及ぶことを警告した。

 ビジネスメール詐欺の手口となりすましの手口として、「攻撃者が取引先になりすます例(サプライヤー詐欺)」「攻撃者が経営者になりすます例(CEO詐欺)」「攻撃者が従業員になりすましてアカウントをジャックする例」「攻撃者が社外の権威ある第三者になりすまして不正な送金指示のメールを送る例」を挙げ、その他にも詐欺準備行為と思われる情報の詐取として、「攻撃者が人事担当になりすまして、従業員の情報を入手し、その情報を別のなりすましに利用する例」を紹介した。「これらに共通する攻撃手法が、“なりすましメールで相手を信頼させる”、“ビジネスメール詐欺実行のために情報を詐取する”、“アカウントハッキングを行う”の3点です」(久保田氏)

攻撃者が従業員になりすましてアカウントをジャックする例

攻撃者が従業員になりすましてアカウントをジャックする例

画像を拡大する

ビジネスメール詐欺となりすましへの対策

 「なりすましメール対策」については「DMARCの導入」「なりすまし検知製品の導入」「利用者への教育」「出口対策」の4点を挙げる。

 DMARC (Domain-based Message Authentication, Reporting, and Conformance)とは送信ドメイン認証技術のひとつで、送信されたメールが、正しい送信元のサーバからのものであるのかをチェックする。たとえば、攻撃者が送信ドメインを詐称してメールを送ってきた場合に、受信側は正しいサーバ以外から送られてきたメールであることを検知できるようになっている。正しくないサーバから送られてきたメールに対しては、隔離や受取拒否など適切な措置を実行する。「DMARCには、もうひとつ重要な機能があります。それは、認証結果リポートの作成です。受信側のサーバが、DMARCによる検知の結果を送信側のサーバに返します。これによって、送信側としても自社のドメインになりすまされているメールがあれば検知できるのです」(久保田氏)。 また、出口対策としては、社内のユーザーが外部にメールを送信する際に、上長が内容をチェックすることが有効だとし、攻撃者からのなりすましメールに返信する場合は社員が気づかなくても、上長が気づいて返信を止めることができると久保田氏は述べる。

 「情報詐取対策」については、第1にアンチウイルス、アンチスパムなどのコンテンツフィルタの導入を勧め、続いて、従来のアンチウイルスやアンチスパムでは検知できない攻撃を検知する、標的型フィッシング対策製品の導入を勧めている。「通常、メール自体は暗号化されていないので、攻撃者は比較的簡単に盗視可能です。そこで、事前にメールの内容を暗号化することで、攻撃者からの盗視を防ぎます」(久保田氏)とし、メール暗号化ソリューションの導入も勧めている。

 事例紹介の中で標的型フィッシング対策製品についても例を挙げ、「従来のアンチウイルス、アンチスパムだと単純なパターンマッチングで検知を行いますが、標的型のフィッシング対策製品は誰から誰にメールを送っているのか、どういった内容か、どこから送信されたのか、いつ送信されたのか、などの情報を複合的に解析し、そのメールがフィッシングかどうかを検知します」と紹介した。

 最後に「アカウントハッキング対策」について、久保田氏は2つのポイントを紹介。ひとつは、アカウント攻撃を検知できる製品の導入で、特定のアカウントに対して、DoS攻撃や辞書攻撃、認証の失敗などが多く発生すると、一時的にアカウントをロックする。もうひとつは、多要素認証製品の導入で、複数の端末からの認証や生体認証を利用することで、アカウントの乗っ取りを防御する。「これら以外にも、いろんな面での対策が必要になります」(久保田氏)

 最後に久保田氏は、日立ソリューションズと TwoFiveには、「ゲートウェイセキュリティ」「メールストア&セキュリティ」「DNSサーバ&セキュリティ」「レポーティング&アナリティクス」「誤送信防止」など、多方面から対策するソリューションが用意されていると紹介し、「ビジネスメール詐欺のさまざまな手口に対してもすべて対応しているので、お気軽に問い合わせください」と述べて講演を終えた。

TwoFiveのソリューション一覧

TwoFiveのソリューション一覧

画像を拡大する

お問い合わせ先

情報セキュリティマネジメントSummit
2019 Winter Review

- INDEX -

お問い合わせ先

株式会社 日立ソリューションズ

お問い合わせURL

URL ● https://www.hitachi-solutions.co.jp/sendmail/sp/

お問い合わせはこちら

このページのトップに戻る