2017年 5月

企業のITセキュリティ講座

社内メールを装う「BEC」と送金システムを操作される「BPC」

テキスト/吉澤亨史

「BEC」と「BPC」、耳慣れない言葉だが、どちらも海外で大きな被害が発生しており、深刻な問題となっているサイバー攻撃だ。こうした新手のサイバー攻撃は、日本に入ってくるまで1、2年かかっているが、最近では日本を標的とした海外からのサイバー攻撃も多いので安心はできない。今回は「BEC」と「BPC」について紹介し、対策方法を探る。

攻撃の効率を追求するようになったサイバー犯罪者

2016年に被害が急増したランサムウェアは、既にアンダーグラウンドでビジネスが循環する仕組みが出来上がっており、ランサムウェア攻撃に必要な一連のツールやサービスは、アンダーグラウンドのマーケットに全てそろっているという。ランサムウェアを使ったサイバー攻撃をしようとする犯罪者は、ランサムウェアの作成サービスを利用し、有効な攻撃対象となるメールアドレスのリストを入手し、手軽に攻撃できる。手に入れた身代金を浄化するサービスまで存在する。

このように、サイバー犯罪者がランサムウェア攻撃をするための環境が整備されたのは、ランサムウェアによる攻撃は投資効果が高く、有効であると判断したからだ。ランサムウェアの標的が個人から企業へと移行した理由も、1件当たりの身代金を高くできるためと考えられる。最近話題となっている「BEC」「BPC」は、1件当たりの"もうけ"をさらに高くするための手段と言える。

ランサムウェアに関する相談の月別推移(IPA)

独立行政法人情報処理推進機構(IPA)「【注意喚起】ランサムウェア感染を狙った攻撃に注意」より、ランサムウェアに関する相談の月別推移(2016年1月~3月)。

IPA:「【注意喚起】ランサムウェア感染を狙った攻撃に注意」

目次へ戻る

海外を中心に被害が増加している「BEC」と「BPC」とは

BECは、Business Email Compromiseの略で、「ビジネスメール詐欺」と訳されている。日本ではまだ聞き慣れない言葉だが、2013年10月から2015年8月の間だけでも79カ国で8,179の企業がBECの標的となっている。また、米連邦捜査局(FBI)によると、2015年2月までに2,126社からBEC被害の報告があり、被害総額は日本円にして約200億5,000万円に上ったという。それが同年8月には、8,170社に増加し、被害総額は約944億円となっている。

BECは、最高経営責任者(CEO)など経営層からのメールを装う詐欺で、社内の経理担当者などに送金を指示するメールを送る手法だ。メールを装うと言っても、サイバー犯罪者は既にその企業に標的型攻撃を仕掛け、CEOのパソコンを乗っ取っている。まさにCEOのパソコンのメールソフトから送信されるので、受信者にとっては疑いようもなく、指示どおりに指定口座へ送金してしまう。

BPCは、Business Process Compromiseの略で、「ビジネスプロセス詐欺」と訳される。BPCは主に金融機関を狙い、送金システムを直接攻撃して不正に送金処理を行うもの。2016年には、バングラデシュ中央銀行がBPCを受け、日本円にして約95億円を損失する被害に遭っている。BPCは企業の送金システムを狙うこともあるが、いずれにしても送金システムは非常に高度なセキュリティ対策がなされているため、攻撃者はシステムを熟知していると考えられる。

サイバー犯罪者はこれまで、標的型攻撃により侵入した企業から個人情報や機密情報を盗み、それを換金することで利益を手にしていた。それがBECやBPCといった、より直接的な攻撃を大胆に行うようになってきた。その背景には、サイバー犯罪組織の巨大化や、高い知識を持つ犯罪者の増加があると考えられる。

BECの流れ解説図

BECの流れ

目次へ戻る

「BEC」と「BPC」の被害から企業を守るには

BECもBPCも非常に高度なサイバー攻撃であり、企業が受ける損害も膨大なものとなる。ただし、BECは標的型攻撃の延長なので、基本的には標的型攻撃を防ぐことができればBECに発展はしない。標的型攻撃は、何よりもまず「気づくこと」が重要となる。実際に、数カ月から数年にわたって企業のシステムに侵入されていたというケースは珍しくなく、攻撃や侵入を受けても気づかないのが現状だ。

標的型攻撃対策としては、「入り口」「出口」「内部」の対策が効果的と言われる。そのためには、社内の通信ログを分析するのが早道だ。標的型攻撃では、一般に使用される通信に見せかけて、侵入させたマルウェアに外部から指示を送ったり、盗み出した情報を外部に送信したりしようとする。社内の通信を可視化することで、不審な通信をあぶり出すことができ、不正プログラムの侵入やマルウェアの社内感染の拡大、重要情報の外部送信を見つけ、対処することができる。

またBECについては、本人のパソコンから詐欺メールが送信されるため、受信したメールに不審な部分がないことが特徴だ。そのため、詐欺メールを送信させない対策が重要となる。例えばメールの送信時に、第三者の許可がないと送信されない仕組みや、特にBEC対策では本人のパソコンがメールを送信しようとしたときに、本人のスマートフォンなどに通知し、本人が送信の可否を判断するといった仕組みが効果的と言える。

一方、BPCはサイバー犯罪者も非常に高いスキルを持つため、そもそもの送金システムへのアクセスを強固にする必要がある。ログインできるアカウントを限定し、共有アカウントをつくらない。また、ログインする際にもIDとパスワードの組み合わせだけでなく、指紋や虹彩などの生体認証、ワンタイムパスワードなどを併用した多要素認証を実施することが効果的と言える。

サイバー攻撃の手法とセキュリティ対策は「イタチごっこ」とよく言われるが、全く新しい攻撃手法はほとんど存在しない。従来のセキュリティ対策の隙間を突いたり、人間の心理を利用したりする。新たな攻撃が発生したら、その攻撃の本質を見抜き、最適な対策を取る必要がある。現在はセキュリティ対策機器やソリューションも充実しているため、工夫することで防げる攻撃が多いことも事実と言える。

BECメール対策の解説図

BECでは、実際に経営層のパソコンからメールが送られるため、送信時の対策が効果的だ。

目次へ戻る