Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日本語版BECが進化していきそう

IPAが日本語版のBEC(ビジネス詐欺メール)について注意喚起を出していました。

www.sankei.com

IPAの発表

 注意喚起】偽口座への送金を促す“ビジネスメール詐欺”の手口(続報)

 

国内企業の最高経営責任者(CEO)を装い、社内の担当者に送金を促す日本語の偽メールが送られた事例を、独立行政法人情報処理推進機構(IPA)が確認し、27日に公表した。金銭被害などはなかった。

 「ビジネスメール詐欺」と呼ばれるサイバー攻撃の一種だが、これまでに把握しているのは、すべて英語の文面で、日本語は初めてという。IPAは今後、同様の手口が増えるとみて注意を呼び掛けている。

(産経ニュース記事より引用)

 

◆キタきつねの所感

昨年末のJALBECは国際取引における詐欺メールでした。今回日本語の詐欺メールのレベルだと、まだ日本企業は気づけると思いますが、これから急速に文面や手口が進化していくと思いますので、IPAが言うように今後注意が必要だと思います。

 

IPAに出ていた文面を引用すると、、、

f:id:foxcafelate:20180901211043j:plain

日本語ビジネスメール文面のお作法がまだ再現できてない気がします。本物のメールアドレスが使われていたとしても、しばらくは文面への違和感で気づきそうです。

本文へのあて先(相手の名前)が無い点や、カーボンコピー」「最高経営責任者」は用語として普段使わない、、、といった点は、例えば英語の詐欺メール本文を翻訳サイト(ソフト)を使って変換している様に見受けます。

 

とは言え油断は出来ません。このBEC分野は海外を含めた成功例が出ている事、そして上手く騙せた場合は(CEO等の経営幹部だと)入手できる成功報酬(お金)が、他の犯罪と比べて桁違いになる可能性を秘めており、費用対効果という意味では魅力的であると考える攻撃者は増える事はあっても減る事はないでしょう。

 ※昨年末の日本航空のビジネスメール詐欺で、325万ドル(約3.5億円)の被害額

そうした動機がある以上、日本語の文面といった障壁は簡単に超えてきてしまう可能性は、かなり早い気がします。例えば、日本のビジネス風習をよく知っている(社長が書きそうなメール)日本人あるいは日本語に堪能な外国人の協力者が、サイバー攻撃(標的型)技術を持つハッカーをサポートしたら・・・すぐにでもメール文面問題は解決します。

あるいは、日本年金機構の時のような・・サプライチェーンから徐々に攻撃をシフトしてくる様なやり方もあるかも知れません。サプライチェーンから漏洩した実際に経営陣が実際にやり取りしているメール文面を参考にした偽ビジネスメールであれば、成功率は格段に向上してしまう気がします。

 

日本年金機構における不正アクセスによる情報流出事案検証委員会検証報告書について

 

AI技術がセキュリティ分野でも本格化すれば、ある程度の判断をAIに委ねる事ができるようになって、「人の脆弱性への攻撃をうまく防御できるようになるかも知れませんが、それまでの間は、この手の攻撃を受けるかも知れないという可能性を考えて、セキュリティ担当(橋渡し人材)がセキュリティ意識が希薄な経営層を指導(啓蒙)していくしかなさそうです。

 

人類の進化のイラスト

更新履歴

  • 2018年9月2日AM(予約投稿)