ビジネスメール詐欺にはゼロトラストが必要

ビジネスメール詐欺（BEC）がカナダの自治体で成功した様です。カナダのサスカトゥーン市で約8300万円の被害が出たと報じられていました。

www.afpbb.com

カナダ西部の草原地帯に位置するサスカチュワン（Saskatchewan）州サスカトゥーン（Saskatoon）の自治体が、オンライン上で建設業幹部になりすました詐欺師から104万カナダ・ドル（約8300万円）をだまし取られていたことが分かった。カナダの都市ではフィッシング詐欺が相次いでいる。

　人口27万人を擁するサスカトゥーン市当局によると、同市は、地元建設会社の最高財務責任者を装った相手から銀行取引の情報が変わったとの電子メールを受け取り、104万カナダ・ドルを相手の口座に振り込んだ。

(AFP記事より引用）

◆キタきつねの所感

日本では昨年末の日本航空（JAL）の3.8億円のビジネスメール詐欺（BEC)被害程度で、あまり大きなビジネスメール詐欺事件は起きてませんが、海外では自治体や大学などでBEC被害は拡大している様です。

今回はカナダ西部の27万人の都市、サスカトゥーン市が被害を受けた様ですが、他都市でも同様な被害が出ている中、入金先変更についての警戒がされてなかった気がします。

地元のニュースも見てみたのですが、もう少し詳しいBECの手口が書かれていました。

City of Saskatoon lost over $1M in fraud scheme, official says

サスカトゥーン市が詐欺計画の犠牲になった後、1回の取引で納税者は104万ドルを失ったと、市当局が木曜日に明らかにした。

市長のジェフ・ヨルゲンソンは、木曜日の午後にメディアに、明らかに詐欺師が、市が扱う建設会社の最高財務責任者の身元を盗んだと語った。

身元不明の詐欺師はその後、市に連絡を取り、会社の銀行情報を変更するよう求めました、とJorgensonは言いました。

市からの104万ドルの支払いは、会社ではなく詐欺師の口座に送られました。

（中略）

Jorgensonは、「なりすまし」の地元の建設会社であるとだけ言って、なりすましのあった会社の名前を付けることを拒否しました。

（CTVNews Saskatoon記事より引用）※機械翻訳

相手が『市が扱う建設会社のCFO』であった事を考えると、いくつかのBEC被害を回避できなかった要因が推測されます。

まず推測されるのが、

　・市から建設会社に支払いが発生している時期であった

事です。つまり攻撃者は市が建設会社に費用を振り込む時期であった事を知っていた事になります。建設会社のCFOを装った事から考えると、建設会社側の経理担当、あるいはCFOのメールアカウントがマルウェア等に侵害されていた可能性が高いかと思います。

その上で、

　・実在するCFOから電子メール（※CFOの本当のメールアドレスであった可能性もあります）から

　　振込先の変更指示を受けた

と考えらえれるので、市の担当者が騙されてしまったとしても、仕方が無い部分もあるのかも知れません。しかし、一方で、大口の振り込みに関しての変更指示を、電子メール1本を受けただけで実行してしまうのは、厳しく責められても仕方が無いかと思います。AFPの記事によれば、同様なBEC被害が他のカナダの自治体でも発生していています。

オタワでは昨年、市の財務部長が業者になりすました相手に13万カナダ・ドル（約1042万円）を送金。詐欺師は、財務部長の上司から依頼を受けて連絡したという内容の電子メールを送っていた。

2017年にも似たような詐欺が発生しており、オンタリオ（Ontario）州バーリントン（Burlington）の自治体は50万カナダ・ドル（約4000万円）、アルバータ（Alberta）州エドモントン（Edmonton）にある大学は1200万カナダ・ドル（約9億6000万円）近くをだまし取られている。

（AFP記事より引用）

日本航空でも変更確認指示について確認メールを入れていたかと思いますが、1経路（相手の電子メールアカウント）が侵害されていた場合には、中間者攻撃は成功してしまう可能性が高いので、2経路目（FAXであったり、電話が一般的でしょうか）での確認が重要となります。

あるいは、振込先の変更に関して電子メールの申請（指示）は一切認めず、市の窓口で本人確認をした上での申請許諾・・というプロセスにしてしまうのも、自治体であれば可能だったのではないかと思います。

こうしたビジネスメール詐欺（BEC)への対抗策については、色々と考えられるかと思いますが、やはり重要なのはゼロトラストの設計思想だと思います。

余談ですが、サスカトゥーン警察は、今回の事件を受けてビジネスメール詐欺（BEC）についての注意喚起を出していました。ビジネスメール詐欺に関して、参考になる部分も多いかと思いますので、貼付しておきます。（※機械翻訳ですが比較的わかりやすい訳文になっているかと思います）

saskatoonpolice.ca

サスカトゥーン警察サービス経済犯罪部は、直接預金情報を標的にした最新の振り込め詐欺を国民に認識させたいと考えています。

詐欺師は進化を続け、現在、人事/財務部門をターゲットにしています。詐欺師は、従業員の給与が詐欺師が管理する口座に入金されるように、従業員に直接預金銀行情報を変更するよう説得しています。彼らは正当なベンダーになり、サービス支払いを別のアカウントにリダイレクトすることさえあります。詐欺師は、多くの場合、「フィッシング」メールで通信しています。これは、詐欺師が不正に使用できる個人情報または機密情報をインターネットユーザーがだまして公開する詐欺です。これは、リンクをクリックするのと同じくらい簡単です。

詐欺師は、人事担当者を説得して、銀行口座と従業員が使用するルーティング情報を変更させ、給与を銀行口座に直接入金させます。犯罪者の口座に転送されると、会社は盗まれた資金を交換する責任を負い、従業員は遅れた給料で不便を感じます。

電子メールは合法的に見え、「直接預金情報を更新する必要があります」とよく言われますが、当初はCEO、CFO、給与管理者、または有名な従業員から送信されたと考えられていました。偽のメールはよく書かれていて、誠実で、つづりの間違い、文法の間違い、感嘆符がありません。通常、受信者とスパムを検索するメールフィルターに警告します。詐欺師は、Gmailなどの無料サービスで偽のメールを作成します。詐欺師は単に新しい電子メールアカウントを開き、従業員の名前を入力するだけで、従業員の電子メールに対するハッキングの試みを検出するためのツールをバイパスできるようになり、多くの場合従業員は気付かないままになります。

同様のメールを受け取った場合は、送信者に返信したり、関与したりしないでください。代わりに、個人情報や記録を変更する前に、口頭または対面での確認など、従業員との確認を取得します。フィッシングメールを証拠として保存し、すぐに警察の報告を提出してください。

（サスカトゥーン警察注意喚起から引用）※機械翻訳