Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

日経のビジネス詐欺はVECだったのか?

日経の米国子会社がビジネス(メール)詐欺事件で32億円を香港に流出させた事件、非常に詐欺事件だと思うのですが、国内では続報がありません。一方海外では少し違った書き方がされている所がありましたので、そこを拾ってみます。

threatpost.com

 

現在、「関連当局による調査の機密性」を維持しているため、情報は乏しいが、専門家はこの事件にはベンダー電子メール侵害(VEC)と呼ばれるBECの形であるという明白な兆候があるようだとThreatpostに語った。パーティが侵害され、そのアカウントが攻撃に使用されます。

「このタイプの攻撃(VEC)はBECアクターの間で増加しており、検出が非常に困難です」と、Agariの上級脅威研究者であるRonnie TokazowskiはThreatpostに語りました。「私たちが観察した多くの場合、アクターは資格情報フィッシングを介してベンダーのサードパーティアカウントの受信トレイを侵害し、資格情報を取得すると、アカウントへのログインを試みます。

Tokazowskiは、攻撃者が最初にベンダーに危害を加えることに成功した場合、通常2つの経路のうちの1つをたどる、と言いました。

最初の攻撃パスでは、ベンダーの電子メールに電子メール転送ルールを設定して、攻撃者が電子メールを監視し、悪性の管理下にあるアカウントにリンクされた新しい銀行情報を含む更新された請求書を送信する機会を探します。俳優。2番目のタイプのVEC攻撃では、攻撃者は自分のアカウントではなく、侵害されたアカウントから「更新された請求書」を送信し、受信者に100%正当であるように見せます

(Threatpost記事より引用)※機械翻訳

 

◆キタきつねの所感

日経の発表を読むと、本社経営幹部と米国子会社の社員間のやり取りで、第三者による虚偽の指示(ビジネス詐欺)があって、約32億円を送金してしまった・・・と読み取れるのですが、海外のセキュリティ専門家は違った見方(ベンダーの電子メール侵害=VEC)をする方もいる様です。

foxsecurity.hatenablog.com

 

ベンダー(正規の送金先)を偽っての指示だとすれば、日経本社は何のために関わったのだろうか?という部分については、記事にも情報が無いので、私はVECだったのかという部分には疑問(私はBECだったのかと想像しています)なのです。

余談ですが、BECは聞き覚えがあったのですが、VECは聞いたことが無い単語だったので調べてみると、サードパーティベンダーのアカウント侵害を使った詐欺(Vendor Email Compromise)の略で、ビジネスメール詐欺(BEC)の一種として整理されている様です。

 

別な記事を読むと、気になるBEC被害の増加が出ていました。

保険大手のAIGは、2018年に欧州、中東、およびアジア地域でのランサムウェアやデータ侵害よりもBECに対する請求を多く受けたと述べました。

上級管理職を標的とする捕鯨や、サードパーティが侵害され、そのアカウントが攻撃に使用されるベンダーメール侵害(VEC)など、BECにはさまざまなバリエーションがあります。VECでは、詐欺師は、ベンダーのサードパーティアカウントの受信ボックスを(通常はフィッシングによって)侵害し、ベンダーになりすまします。

Boyer氏によると、攻撃者は電子メールの通信を監視して、ベンダーが誰と協力しているのかを把握し、請求書がいつ送信されるかを把握します。彼らは、ルーティング情報を別の銀行と請求書のテンプレートを変更して、実際のベンダーも、PDFファイルが変更された実現しないかもしれません。または、被害者組織に直接メールを送信し、転送を開始する場合があります。

(Decipher記事より引用)※機械翻訳

 

上記のAIGのデータはここがソースの様です。

Cyber Claims - GDPR & business email compromise drive greater frequencies

 

2018年に報告されたインシデントのほぼ4分の1は、ビジネスメール侵害(BEC)によるもので、2017年の11%から大幅に増加しました。

AIG-UKより引用)※機械翻訳

 

BECの手法(日本では風習的に成立しない手法も含む)は、人の脆弱性を突く攻撃なので研究のし甲斐がありそうなのですが、長くなりそうなので、この辺りで止めておきます。

 

日経新聞からは、自らの事件を検証した記事が出てくる・・・かどうかは怪しいですので、過去にBECを扱った記事を参考まで貼っておきます。

www.nikkei.com

 

併せて、日経BPの記事も・・・

tech.nikkeibp.co.jp

 

現実問題として、メールアカウントへのログインでの2要素認証、支払いプロセスにおける多層防御(電話等の2経路認証が無難な気がします)がなければ、詐欺手口も年々巧妙化していますので、特に英語メールでは引っかってしまうレベルになってきている気がします。

日本(語)でも今後増えていく事が目に見えるだけに、海外子会社まで含めて、経営幹部や経理部門にBEC対策(教育)を被害が出ないうちに強化する事が必要なのかと思います。

 

 

本日もご来訪ありがとうございました。

 

 

日本人のためのパスワード2.0   ※JPAC様 ホームページ

7/8に日本プライバシー認証機構(JPAC)様からホワイトレポートをリリースしました。キタきつねとしての初執筆文章となります。「パスワードリスト攻撃」対策の参考として、ご一読頂ければ幸いです。

 

 

 f:id:foxcafelate:20191109150339p:plain

 
 

更新履歴

  • 2019年11月9日AM(予約投稿)