危うく 125 万ドルの移籍金をサイバー犯罪者に払いかけたサッカーチーム

もし 100 万ドル以上の大金を支払うとしたら、どれだけ注意深く送金先を確認するでしょうか。

支払うお金の受け取り人について確認することはより重要です。相手が背信行為のない正常な取引相手であるかどうか、お互いにどのように確認するでしょうか。

通常、相手とは一定期間メールでやり取りし、取引について交渉し、条件に合意の上、支払いを確定させると思います。

そして取引が完了する直前、最後にもう一度メールを交換する可能性が高いでしょう。

万が一、支払い内容に直前の変更があった場合は、支払い前に変更の知らせを聞けたことに心から安心するかもしれません。取引が住宅の購入や株式の注文など、タイムクリティカルなものであれば尚更です。

サッカー選手の移籍金の支払いも同様です。英国のプレミアリーグでは、選手の移籍金の一部として 100 万ポンドの支払いがありました。プレミアリーグは世界最大の売上高と視聴者数を誇ります (NFL、NHL、MLB、IPL などのファンは異論を持つかもしれませんが)。

なんといっても、移籍の門戸は狭く、交渉も複雑なため、最後の最後に支払いがうまくいかなければ、何か月もかかった取引が消滅してしまうこともあり得ます。

英国の国家サイバーセキュリティセンターから本日発表されたレポート『The Cyber Threat to Sports Organisations (スポーツ組織に対するサイバー上の脅威)』によると、実際にこのようなことが起こりかけました。ただし、送金先の新たな口座番号は詐欺師のもので、サッカークラブは取引を救うどころか大きな損害を被るところでした。

レポートは名指ししていないものの、どうやら英国のあるトップサッカークラブは、本物そっくりの詐欺メールによって移籍金の受け取り先の口座が変更になったと伝えられ、100 万ポンド (約 125 万ドル) を詐欺師に送金するところでした。

幸いにも、サッカークラブの銀行が怪しい取引であることに気づいたため、詳細な調査が行われ詐欺が発覚しました。

お察しの通り、これは BEC (ビジネスメール詐欺の略) として知られる詐欺の手法です。

BEC はサイバー犯罪の中でも特別なカテゴリーに属します。事実、サイバー犯罪というよりかは、「インターネットで可能な犯罪」と言った方がよいかもしれません。

BEC を行うために、プログラミングやマルウェアの技術に長けている必要はありません。ハッキングや脆弱性の悪用、ネットワークへの侵入やラテラルムーブメントといったノウハウも必要ありません。

BEC の詐欺師が持っているのは忍耐力、粘り強さ、信念と、人間離れしたソーシャルエンジニアリングの技術です。

古い用語で言えば、信用詐欺師とでも呼ばれるかもしれません。しかし、彼らが被害者を騙すために使っているのは、総じて対面でのカリスマではなく、インターネットです。

BEC の背後にある基本的な考え方は驚くほどシンプルです。組織の重要人物のメールのパスワードを入手し、本人より先にすべてのメールを読み、その企業のオペレーションや目的を学び、高額の支払いや受け取りが来る時を待ち…

…そして、メールを乗っ取った社員に成りすまして、ほかの従業員や取引の債権者、債務者を騙します。

したがって、BEC CEO 詐欺または CFO 詐欺と呼ばれることもあります。通常、これらの役職のメールアカウントが、サイバー犯罪者にとって最も大きな結果をもたらすからです。

近年、ソフォスでは、CEO 詐欺CFO 詐欺という用語の使用を避けるようにしています。これらの呼び方は、BEC 詐欺が CEO または CFO のアカウントが乗っ取られる場合に限定され、また彼らのアカウントが無事であれば会社が危険に晒されることはないという誤解を生むからです。CEO や CFO という役職名を使わない企業も多数存在しますが、そういった企業もこういった詐欺被害に遭うリスクがあります。

ご想像の通り、BEC 詐欺の犯罪者が企業を操る典型的な手法としては、債務者に対して未払いの請求を犯罪者集団が所有する「新しい」銀行口座に支払うように仕向けたり、会社の社員に対して実際の債権者の代わりに偽造の口座に支払いを行うよう仕向け、会社の内外両方からお金を盗みます。

BEC を行う詐欺師は人を騙すためにテクノロジーを使います。そして、企業の内部で詐欺の仕組みを作り上げると、次にソーシャルエンジニアリングと内部知識を駆使してその仕組みを可能な限り持続させようと試みます。

サイバー犯罪者にメールアカウントを乗っ取られてしまった場合、詐欺師ができることは乗っ取った社員の名前でメールを送ることだけではありません。それらの偽メールを送信済メールのフォルダから削除して送信の事実を消したり、疑問を抱いた同僚からのメールを妨害、削除、修正したりすることができます。また、警告を発しようと試みる社員をなだめたり、妨げになる社員を脅迫したりもします。

対策

当然、この詐欺手法に対して難しい問題が提起されます。もしサイバー犯罪者がすでに誰かのメールアカウントに侵入し、会社全体を操る機会を腰を低くして待っているとすれば、どうやって通常通り送られてくるほかの多くの本物のメールの中から、そこにあるべきでない偽メールを発見するのか、という問題です。

以下はこういった詐欺を検知し、防ぐための 6 個の対策方法です。

  • 特にメールアカウントでは、二段階認証 (2FA) を有効にしましょう。 こうすることで、単一のパスワードだけでは乗っ取られなくなります。メールアカウントは、仕事用、プライベート用を含むほかの多くのアカウントのパスワードを再設定することにも利用できるので、注意してください。
  • 利用中のインターネットサービスプロバイダーの製品について、異常が発生したときに警告してくれる機能があるか確認してください。 アクセス監視ツールは、普段と異なる場所からのログインや、通常でないネットワークアクティビティを検出するのに役立ちます。これは、ネットワークまたはメールアカウントに侵入した詐欺師を洗い流すのに役立ちます。また、銀行に詐欺を検知するための追加のレイヤーを追加できないか相談してください。
  • 特に外部への送金についての詳細変更など、アカウントやサービスに大幅な変更を加える際に 2 段階 (または 3 以上) のプロセスを実施しましょう。 単純に「マネージャーの承認」というクリック操作だけに頼るのではなく、異なる部門の複数の部署による独立したチェックを実施し、詐欺の兆候を探しましょう。
  • あなたの注意を引こうとしているメールの中に何か一つでもおかしなことがあれば、詐欺の標的にされていると思ってください。 CEO または CFO になりすまそうとする詐欺師も、しばしば間違いを起こします。スペルミスやありそうもない誤りを見逃してはいけません。大工が言うように、「2 回測ってから 1 度切る」ことが大事です。
  • メールをもとにほかの会社に詳細を確認する場合、また特にお金が関係する場合は、メールで提供される連絡先に頼ってはいけません。 すでに受け取っている書類にプリントされた電話番号など、別の手段を使用して相手と連絡を取り合いましょう。
  • 社内の研修ツールを使用して、社員に詐欺について学習させることを検討してください。 上記のサッカークラブのケースでは、詐欺師は偽の Office 365 のログインページを使用して CEO のパスワードをフィッシングしました。Sophos Phish Threat などのツールを使用すれば社員の振る舞いを安全にテストでき、実際に犯罪者が電話をかけてくる前に、問題にならないやり方で間違いを経験することができます。

ちなみに、BEC 詐欺でどれほどの額のお金が動いているのか疑問に思ったのならば、「Hushpuppi」と呼ばれる米国の BEC 詐欺の容疑者逮捕に関する記事をご覧ください。

そして何より、ご自身が BEC 詐欺に騙されないよう注意してください。