2020.07.31
マクニカネットワークス株式会社

マクニカネットワークスと伊藤忠商事が
ビジネスメール詐欺の実態と対策を共同分析

~攻撃者の手口や素性を明らかにし、対策アプローチとインシデント対応方法を公開~


日本の組織を狙う脅威を日々解析し、セキュリティ対策ソリューションを提供するマクニカネットワークス株式会社(以下、マクニカネットワークス、本社:神奈川県横浜市港北区新横浜1-5-5、代表取締役社長:池田 遵)は、伊藤忠商事株式会社(本社:東京都港区北青山2-5-1、代表取締役会長CEO:岡藤 正広)と共同で、ビジネスメール詐欺の実態を共同分析し、詐欺の実態、ターゲティングから送金させるまでの一連の流れ、対策アプローチおよびインシデント対応についてまとめ、レポートとして本日公開いたしました。

ビジネスメール詐欺(Business Email Compromise:BEC)の被害は年々増加しています。日本国内においても、2017年末に大手航空会社が約3.8億円、2019年には大手報道機関の米子会社が約32億円、大手製造企業の欧州子会社が約40億円の被害に遭ったとの報道がされています。日本国内で報道されるBECの被害事案は氷山の一角に過ぎず、被害額が比較的小さいものを含めると被害件数はかなり多数にのぼると考えられます。

マクニカネットワークスでは、2015年から2019年までに親会社(マクニカ・富士エレホールディングス)のグループ傘下に届いたBECだけでなく、マクニカ・富士エレグループを装って取引先へ届いたBEC、さらにはマクニカネットワークスが提供するインシデント対応サービスにて対処したBEC事案を分析し、攻撃者が使う手口を明らかにしてきました。そして、今回、伊藤忠商事のITCCERT様(以下敬称略)に、世界中に展開する伊藤忠グループに日々届いたBECの分析結果を共有頂いたことで、攻撃者の手口や素性がより明らかになってきました。

今回公開したレポートでは、実際に観測されたBECの実態、用意周到な準備から攻撃者が用意した口座へ振り込ませるまでの一連の流れ、システム面および会計部門において現時点で一定の効果があると考えている対策、ビジネスメール詐欺に直面したときに必要なインシデント対応をまとめています。

本レポートの目次、および公開先は以下のとおりです。

目次

  • 1 エグゼクティブサマリー
  • 2 ビジネスメール詐欺の実態
    1. 2.1 取引先のCEOを装う
    2. 2.2 自組織のCEOからの社内メールを装う
    3. 2.3 類似ドメインの登録
    4. 2.4 フリーメールの悪用
    5. 2.5 日本語で書かれたBECメール
    6. 2.6 乗っ取ったメールアカウントをそのまま使うBECメール
    7. 2.7 偽装されたメール署名
    8. 2.8 LinkedInを使った接触
    9. 2.9 攻撃者の素性
  • 3 ターゲティングから送金させるまでの一連の流れ(BEC Kill Chain)
    1. 3.1 OSINTによるターゲティング
    2. 3.2 メールアカウントへ不正ログイン
    3. 3.3 メールボックスの偵察
    4. 3.4 詐欺メールの送付
    5. 3.5 送金の説得
  • 4 対策アプローチ
    1. 4.1 BECを経営課題と捉える
    2. 4.2 会計部門におけるチェックの強化
    3. 4.3 取引先への周知
    4. 4.4 多要素認証
    5. 4.5 フリーメールアドレスからの受信警告
    6. 4.6 フリーメールアドレスへの送信警告
    7. 4.7 送信元アドレスと返信先アドレスが異なるときに警告
    8. 4.8 信頼性の低いTLDからの受信検知
    9. 4.9 @の手前にTLDが入るアドレスからの受信検知
    10. 4.10 類似ドメインの検索
    11. 4.11 DMARC
  • 5 インシデント対応
    1. 5.1 銀行や法執行機関への連絡(送金の取り戻し)
    2. 5.2 メールアカウントが侵害されていないか確認
    3. 5.3 マルウェア感染がないか確認
    4. 5.4 パスワードの変更
    5. 5.5 攻撃者が取得したドメインのテイクダウン
    6. 5.6 取引先との交渉と按分

BECメール例

  • 米国取引先のCEOを装って届いたBECメール
    差出人のメールアドレスは、取引先とは無関係のドメインになっており、比較的容易に気が付くことができる。しかし、メール内容は取引先CEOからの至急の依頼を装っているので、「疑うことで失礼だと思われたくない」という心理がはたらき、依頼を断りにくい状況にある。
  • マクニカ・富士エレホールディングス代表取締役社長からの社内メールを装ったCEO詐欺メール
    差出人のドメインが正規ドメインmacnica.comの類似ドメインrnacnica.com(mをrとnで表現)になっている。

マクニカネットワークスでは、日本国内の組織がBEC対策を考える上で有益な情報となり、少しでも被害軽減につなげるため、今回レポートを公開いたしました。今後も日本企業を標的とする攻撃の調査、分析、情報を公開することで、日本企業のサイバーセキュリティ対策に寄与できるよう努めてまいります。

レポートの公開先はこちら

https://www.macnica.net/security/report_02.html/

本レポートに関するお問い合わせ先

マクニカネットワークス株式会社
TEL:045-476-2010

報道機関お問い合わせ先

マクニカネットワークス株式会社 https://www.macnica.net/
TEL: 045-476-2010
〒222-8562 横浜市港北区新横浜1-5-5
広報担当 磯崎(いそざき)

お問い合わせフォーム

※本文中に記載されている会社名は、各社の登録商標または商標です。