【CEO詐欺】フィッシング詐欺増加が気のせいではなかった

先日、こちらの記事
・競馬予想会社株式会社メジロからのお手紙と2月のベスト5
で、去年はフィッシング詐欺目的の迷惑メールが去年から急に増えた印象があると書きましたが、どうやら気のせいではなかったみたいです

フィッシング詐欺過去最大

「トレンドマイクロ」によると、「2018年を通じ、全世界的にフィッシング詐欺の攻撃が過去最大規模の急増を見た」ということなの
前年の2倍以上で過去最大規模の急増に納得、自分の印象にも納得した次第

トレンドマイクロセキュリティブログ
・騙しの手口の多様化と急増するメールの脅威、2018年の年間脅威動向を分析より
2018年を通じ、全世界的に「フィッシング詐欺」の攻撃が過去最大規模の急増を見せました。
これはシステムの利用者である「人の弱点」を狙い、人の誤解や思い込みを利用した「騙しの手口」を積極的に使用してきているサイバー犯罪者の傾向を端的に示す例と言えます。
法人狙う攻撃においては、メール経由の詐欺手口である「ビジネスメール詐欺」が継続して被害が報告されており
日本国内でも、日本語化されたCEO詐欺メールを初確認したことに加え、実際のCEO詐欺手口による被害事例も発覚しており、世界的なCEO詐欺の傾向が国内にも流入する変化が発生していたものと言えます。

これまではシステムの脆弱性を突いてマルウェアを仕込んだりと、人(詐欺師)vs システムの攻防が主に行われて来ました
CEO詐欺も含め、2018年は人の弱点を狙った、人(詐欺師)vs 人(システム利用者)の攻防へと変化して行った年だったんですね

個人宛てに来るフィッシングメールの場合、この5パターンが定番化していると思います

  • ・ヤマト等の宅配便
  • ・docomo等の携帯キャリア
  • ・amazonn等のネットサービス
  • ・ネットバンク
  • ・カード会社

私自身が受信したフィッシングメールの中には「偽MyEtherWallet」や「偽のbitFlyer」といった仮想通貨に関連した内容のものもありました
この辺りは時代を反映した、その時々の流行に乗るという昔からの詐欺手口の特徴です

またこの頃は「○○pay」流行りで、早くも○○pay系で偽サイトが登場しています
特に○○payという「pay」が名称に含まれるものが次々出ていますから、そんな時が詐欺師も狙い目ということになるでしょう

巨額になるCEO詐欺
実は私、「CEO詐欺」という言葉を知らなくて・・・でも文字で何かはすぐわかるというwww
国内企業のCEOを装い、「日本語で書かれた偽メール」は2018年7月9日に送られたものが初めてのようでした

勿論、公表されていないとか、偽メールだと気づいてゴミ箱へ速攻ポイしっちゃった人もいるでしょうから、公になったものだとは思います
それと、こちらはCEOを装っていなかったのかな、ビジネスメール(BEC)詐欺なら2017年にエライことになってますよね

日本航空が2017年9月、取引先を装って送りつけてきたメールを信じ、3億8000万円余りを指定された海外の銀行口座に送金
航空機のリース代などを請求する電子メールだそうで、スカイマークも同様の被害に遇ったと公表しました
・時事ネタで2017年を振り返る

CEO詐欺とは

トレンドマイクロセキュリティブログ
・財務責任者を狙う、ビジネスメール詐欺「BEC」より
犯罪目的で企業の最高経営責任者(CEO)や代表取締役社長、他の幹部社員になりすました偽装メールの横行は、いまや驚くべきことではありません。
これらは、従業員は CEO や代表取締役社長からの依頼メールを断れないという弱みに付け込んだ手口です。
サイバー犯罪者は今後も人の弱点を利用する攻撃を活発化させてくることが予想されます。

トレンドマイクロセキュリティブログの記事には「文法的に不自然な文言、宝くじ当選や王族からの手紙といった非現実的な話など、メール内容から偽装メールだとすぐに判断できる時代は過ぎ去りました」とあります
でも信じちゃう人は今でも一定数いるとは思うんです
日本ではまだまだ偽の支援話を信じてしまう人が後を絶たないのですから

じゃあ何故、CEO詐欺も含めたビジネスメール(BEC)詐欺が増えているのかですが、システムの脆弱性を突くのは不特定多数に向けたもので効率が悪い
それよりも、決済権があり、資金を手に入れることができる人物や、従業員の価値ある情報(個人情報など)にアクセスできるような人事部門の責任者だとかに成りすましたり
そんな人物をターゲットにした方が効率はいいし、一気に大金を掴める可能性が高くなります

日本航空の件だと、詐欺師が取引先担当者に成りすまして、実際に3億8000万円余りをまんまと奪うことができたわけです
詐欺師は企業のネットワーク内に侵入し、やりとりされるメールの内容や宛先を研究し尽くした上で、日本航空の一件ではメールの文面やクセ、サインまで完コピだったって話

海外の例だと、ドイツの大手電気機器メーカーが、BEC詐欺(CEO詐欺)の被害に遭い、被害額はなんと4000万ユーロ(約46億円!)
手口は興味深く面白かったので、貼っておきます
THE ZERO/ONE
・メール1本で46億円を盗難! 欧州を舞台にした巨額BEC詐欺

BEC詐欺(CEO詐欺)は「緊急の送金依頼」「極秘」などの文言で緊急を要する機密案件である旨を伝え、早急かつ秘密裏に送金するよう圧力をかけてきます
大金であるにもかかわらず、とにかく大至急、誰かに相談する必要はない、なんておかしな話なんですよね

でもメールの相手が役職に就いているとか、会社の代表者だったりすると緊張もするでしょう、そこに切迫した雰囲気があればなおのことです
そして自分自身もそれなりに権限を持つ立場にあったら、自分の一存で構わないと思ってしまうのかもしれません

BEC詐欺(CEO詐欺)を防ぐには
BEC詐欺(CEO詐欺)はフィッシングの手口の一つですから、こちらをご覧ください
・フィッシング被害に遇ったら?フィッシングを防ぐ確実な方法とは

当たり前のことをしていればいいだけ、BEC詐欺(CEO詐欺)を含めたフィッシング対策は決して難しいことではありません

  • ・メールアドレスのドメイン名を確認
  • ・URLや添付ファイルを不用意に開かない
  • ・IDとパスワードを適切に管理
  • ・OSやソフトを更新
  • ・セキュリティソフトも最新の状態で
  • ・勤務先の規程に従って行動
  • ・支払い先口座の登録や変更は複数の管理者で
  • ・電話で直接相手に確認する

特に思うのは、大金を動かす必要があるならメールのやり取りに終始せず、直接電話で確認しましょうヨ
オレオレ詐欺も電話で確認さえしていればと思います

トレンドマイクロセキュリティブログの記事にあるように「システムの利用者である人の弱点を狙い、人の誤解や思い込みを利用する
当たり前のこと=日々のルーチンワークになりますから、そこに何かしらの油断が生まれてしまう
人は機械の様にいつも同じように振る舞うことは出来ません
そこに詐欺師は付け入る隙を見つけ出し、億単位のお金の奪取に成功するのです