Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

BECはついに宗教にも

企業の経営者、学校・・・ビジネスメール詐欺(BEC)は宗教関係にもその魔手を伸ばしてきた様です。www.wkyc.com

 

オハイオ州ブランズウィック - ブランズウィックのセントアンブローズカトリック教区の指導者たちは、改装のために指定された教会からハッカーが175万ドルを盗んだと言います。 

教区への手紙の中で、神父。Bob Stecは先週、請負業者から連絡があり、なぜ過去2か月間の支払いがなかったのかを尋ねた。Stecは、教会は彼らが支払いを迅速に受けたと信じており、支払いが受領されなかったことを知ってショックを受けたと言います。 

調査の結果、FBIとBrunswickの警察は、ハッカーが教区の電子メールシステムに侵入し、請負業者が銀行と電信送金の指示を変更して不正な口座に送金したと信じるように教会の指導者をだましたことを発見した。 

(WKYC記事より引用)※機械翻訳

 

◆キタきつねの所感

ハッカーの信じている宗教が違うのかも知れませんが、何とも罰当たりなハッカーの攻撃です。とは言え175万ドル(約2億円)を得ていると考えれば、神(教会)をも騙す事に何のためらいのない方も多いのかもしれません。

ビジネスメール詐欺(BEC)についての一般的な手口は、電子メールで予め金銭のやり取りを行う関係者のメールアカウント、あるいは上位のメールシステムを侵害(マルウェア感染)させ、支払いが発生しそうなタイミングを計るため、すべてのメールを(ハッカー側に)転送させ監視している事が多いようです。

日本では、日本航空が一昨年年末に3.8億円の被害を出した事件が有名ですが、支払い請求があった後、日数を置かずに、口座変更のメール(ビジネスメール詐欺)が飛んでくる事から、電子メールがハッカーに監視されている場合に実被害が起こりやすい特徴があります。

 

今回の事件でも電子メールシステムが乗っ取られた事が原因となった様です。事件は改装業者が2ヶ月後に代金が支払われない事を不審に思い、教会側に確認した事で発覚しましたが、高額の支払いには、メールシステムだけでなく、(2経路目の)電話やFAX等で再確認する、そうした慎重さが今や必要となっていると言えそうです。

あるいはPGPメール等、証明書つきのメールや暗号化したメールのやりとりも有効かと思いますが、相手あっての送受信なので、原始的ではありますが、電話やFAXが(結局のところ)運用しやすいかと思います。

 

さて、気になるのが日本への被害。日本航空は英語での海外とのやりとりで、ビジネスメール詐欺にひっかかりましたが、日本では日本語ビジネスメール詐欺での(大きな)被害はまだ起きてないかと思います。

 

とは言え、昨年夏に日本語ビジネスメール詐欺の注意喚起がIPAから出された様に、今後は日本語メールも進化してくる事が予想されます。

www.ipa.go.jp

 

日本の神社仏閣(宗教法人)・・・改修工事という点では、海外と同じ事が発生し、支払いも発生する訳ですから、今後気をつけるべきかも知れません。

 

参考:

www.yomiuri.co.jp

 

f:id:foxcafelate:20190430184801p:plain

更新履歴

  • 2019年4月30日PM(予約投稿)