Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日経はビジネスメール詐欺(BEC)に警鐘を鳴らした

こんなタイトルを付けると各所から怒られそうな気がしますが、日経でも被害を受ける時代なのです。もっと日本企業は「人の脆弱性」について考えるべきなのかも知れません。

www.nikkei.com

 

■公式発表 当社米国子会社における資金流出について : 最新情報 | 日本経済新聞社

 

当社の米国子会社である日経アメリカ社(米ニューヨーク市、以下アメリカ社)の社員が本年9月下旬、当社経営幹部を装う悪意ある第三者による虚偽の指示に基づきアメリカ社の資金2900万ドル(約32億円)を流出させる事態が発生いたしました。その後まもなく詐欺被害に巻き込まれた可能性が高いと判断し、アメリカ社は直ちに弁護士に依頼して事実確認を進める一方で米国および資金流出先である香港の捜査当局に被害を届け出ました。

(公式発表より引用)

 

◆キタきつねの所感

ビジネス(メール)詐欺には気を付けろ、誰もが分かっていると言うのだと思いますが、海外子会社とは言え、日本を代表する新聞社がひっかかったという事には驚きを隠しえません。

 

 

今回の事件がどうであったのか考えてみます。

騙された人の関係を、リリース内容から読み解いてみると、

 

当社の米国子会社である日経アメリカ社(米ニューヨーク市、以下アメリカ社)の社員が本年9月下旬当社経営幹部を装う悪意ある第三者による虚偽の指示に基づきアメリカ社の資金約2900万ドル(約32億円)を流出させる事態が発生いたしました。

(公式発表より引用)

 

騙されたのは「日経アメリカ社の社員」であって、身元を詐称されたのは「当社経営幹部」と書かれています「日経アメリカ社」と「当社」は違う書き方がされていますので、「当社」はリリースを出した会社、すなわち日本経済新聞社である事を示唆しています。

 

つまり事件の構図としては、

 

日本経済新聞社の経営幹部を装う第三者「日経アメリカ社」「社員」に対して、「香港の口座に2900万ドル(32億円)を送金する虚偽の指示」をした

 

事になります。

 

ここでいくつかの疑問が出てきます。

 

最大の疑問は、

①「日経新聞の経営幹部」が32億円送金指示をするだけの権限があるのか?と言う事です。

普通の会社だと、稟議等で”何人もの社内の了承を経て”決済がされると思います。リリースの簡易な内容だけでは、指示がメールだったのか、電話だったのか、別な社内の仕組みだったのかは分かりませんが、社内稟議システムがハッキングされた・・・という報じられ方はしてませんので、メールか電話だったのだろうと推測します。

だとすると、、当該経営幹部の方が、メール(電話)指示をすると大金が(気軽に)送金できる様な運用が普段から存在していた事になります。

 

その他にも疑問がでてきます。

②「日経アメリカ社」の「社員」とは誰か?

一般的に社員には社長も含まれるかと思いますので、経理部門の方か、社長を含めた経営幹部の方日経アメリカ社側で騙された人になるのかと思います。

 

※因みに、一番権限がありそうな日経アメリカの社長は2月に就任してる事が日経新聞に出ていました。

人事、日経アメリカ社 :日本経済新聞

 

③指示は日本語だったのか、英語だったのか?

ビジネス(メール)詐欺は、日本航空も2017年に3.8億円の詐欺被害を出しましたし、今年に入ってからもトヨタ紡績が今年9月に40億円の被害を発表したのも記憶に新しい所です。

 

トヨタ紡績はJALを超えた - Fox on Security

 

いずれも取引先との英語のやり取りでひっかかったと言われています。もし仮に今回の詐欺事件が「日本語」だった場合は、、、日本語ビジネス(メール)詐欺の初大型案件になってしまうかも知れません。

www.nikkei.com

 

アメリカの子会社とのやり取りですので、、英語だったのか?とも思いますが、一方で詐称された可能性のある経営幹部の方・・・役員一覧を見ると、全て日本人のお名前に見受けられますので、日本語での詐欺だった・・・可能性の方が高い気がします。(※余談ですが、日経もJAL送金先は香港でした)

日本経済新聞 役員一覧

 

④日経アメリカ社(社員の方)の送金権限は32億円もあるの?

日本だけでなく世界を相手にしている日本経済新聞ですから、当然ビジネスの幅も大きく、もしかしたら32億円の送金は日常的に発生していたのかも知れませんが、一方でその送金プロセスに対する承認を考えると、本社と同じく、海外子会社であっても稟議的なものがあって、何人かの了承を得ないと送金が出来なかったのではないかと思うのです。その何人かが一緒に騙されてしまっていたのであれば仕方が無い事と言えるかも知れませんが、

 

日経新聞の去年の決算発表を見ると・・・純利益が51億円ですので、、そこまで簡単に送金判断ができたのは何故だったのか?については非常に疑問です。

もしかするとビジネス上の正規の送金ではなくて、何か裏金的な指示でもあったのか・・・といった色々な事が想像される様な、何か問題がありそうなプロセスをビジネス(メール)詐欺に突かれた気がしてなりません。

f:id:foxcafelate:20191102212621p:plain

 

 

想像の話(※私の記事の多くが想像をベースにしている気がしなくもありませんが)が多分に入るので、ここはいつも鋭い視点で記事を書く日経新聞の記者さんの、続報記事に期待するとして、

 

仮に日本語でなくて、英語メールで騙されたのだとしても、日本語の壁は、フィッシングメール等でも巧妙なメール文面が出てきている事を考えると、日本の風習、日本語の壁、、といったモノが有効である時間は短い気がします。

最近事例がが多い、ばらまきのフィッシングメールマルウェア感染)、ビジネスメール詐欺(不正送金をさせる目的)、APT攻撃・・・どれも「人」の脆弱性を狙った攻撃です。

 

日本企業は、こうした攻撃に備えるべきである、今回の日経のビジネス(メール)詐欺事件は、日本企業に対する警鐘になのかも知れません。

 

 

最後に、トヨタ紡績の事件の際に書いた、FBIのBEC対策を参考まで再掲します。

2名運用、2経路(電話等)確認、振込先変更手順厳格化、、等が有効のようです。

BEC攻撃を緩和する方法
次のリストには、BEC脅威に対する予防措置と緩和戦略が含まれています。

・特定のアカウントの構成およびカスタムルールの変更について、メール交換サーバーを頻繁に監視する
・メールが組織の外部から送信されたときに通知されるメールバナーを追加して、簡単に通知されるようにすることを検討してください
BECの脅威とスピアフィッシングメールの識別方法に関するエンドユーザーの教育とトレーニングを実施する
既存の請求書、銀行預金情報、および連絡先情報に対する変更の検証について、会社のポリシーが規定していることを確認します
・支払いまたは人事記録の電子メールリクエストに従う前に、電話でリクエスタに連絡する(※2経路)
・支払いの転送時に2人の当事者のサインオフ(※複数人確認)を要求することを検討する

(FBIリストから引用)※機械翻訳 (※)はキタきつね補足

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 記者・新聞記者のイラスト


 

更新履歴

  • 2019年11月3日AM(予約投稿)