オンラインスキャム：誰であっても避けることが困難なスキャム

スキャムは、誰であってもその危険に晒され得るものである。特に、企業や組織を対象とするターゲット型スキャムは、ソーシャルエンジニアリング手法を用いて緻密に設計された攻撃シナリオによって行われる。このような攻撃は、個人を対象とするスミッシングや投資詐欺、またはショッピングモール詐欺などとは異なり、事前に収集した攻撃対象の情報をもとにパーソナライズされたフィッシングシナリオを構成する。そのため、被害を受けた組織がそれをスキャムと認知することが容易でない。

本記事では、企業や組織を対象とする代表的なターゲット型スキャムであるビジネスメール詐欺(BEC)とスピアフィッシングメールを、事例を通して紹介していく。

内容

1. ビジネスメール詐欺 (BEC)
   • 攻撃方式
   • AI 技術の影響
2. スピアフィッシング：パーソナライズド攻撃
   • マルウェアの配布と情報窃取
   • 専門家すらも欺く
3. 関連記事

用語

スキャムとは、不法でモラルに反する方法で相手を騙し、金銭または知的財産を獲得したり、資産へ許諾なしに接近する詐欺犯罪行為である。主に直接的なチャンネル(電話、テキストメッセージ、電子メール、メッセンジャー、ソーシャルメディア、Web サイトなど)を利用し、被害者が自発的にスキャマー(犯罪者、攻撃者)の意図した通りに行動させる。

ビジネスメール詐欺 (BEC)

攻撃方式

BEC(Business Email Compromise、ビジネスメール詐欺)は、電子メールを活用した代表的なスキャムである。攻撃者は、主に企業や政府機関などの組織構成員を標的とするが、特に上層部の役員陣や財務、人事担当者を狙う。彼らは被害組織と業務上関係がある人物を装い、送金や機密情報の送信を誘導する。

BEC 攻撃は大抵、緻密な計画のもとに行われる。攻撃者はまず、リンクトイン(LinkedIn)や公開されている Web サイトを通じてターゲットの事前情報を収集する。電子メールの送信時には、送信アドレスのドメインをスプーフィングや、信頼できる機関の詐称などの手法を用いる。その後被害者との間に信頼関係を築き、心理的圧力を加えるソーシャルエンジニアリング手法を利用し、送金や情報の送信を要求する。以下のようないくつかの BEC 攻撃事例を見ると、銀行の高職につく管理者を詐称し、緊急性を強調して金銭を受け取るために機密情報を要求することが共通している。

• In respect to your unpaid payment of $3.5 Millions Dollar with the Royal Bank Of Asia.
• I work as the Foreign Operations Manager with one of the international banks here in Nigeria.
• There is an overdue unclaimed sum of USD$87.2 million US dollars (NNPC) contract payment in my bank Zenith International Bank Plc…
• reply urgently and to prove that, include your details and as soon as i receive this information I will forward you a text of an application which you will fill and send to the bank for the claim of the fund as i will direct you on what to do.

[図1] BEC 攻撃事例

AI 技術の影響

AI 技術の発展は、BEC 攻撃の進化を加速させている。最近、香港のとある多国籍企業で発生した事故がそれをよく示している。攻撃者は AI ディープフェイク技術を活用して会社の CFO を詐称する電子メールを送り、財務を担当する職員がこれを信用して2,500万米ドル(約344億 KRW)を送金する被害を受けた。当時職員が疑いを抱き、ビデオ会議を追加で執り行ったが、会議に参席した CFO を含む複数の役員たちの姿すらもディープフェイクでねつ造されていた。結局、職員はねつ造された画面に騙され攻撃者に送金を行った。^[1]

AI 技術の発展は、今後 BEC 攻撃をより精巧かつ巧妙にしていくだろう。ディープフェイクのような技術を活用した詐称がより簡単になり、それによって BEC 攻撃の成功率も高まるものと予想される。BEC 攻撃に効果的に対応するため、企業は特に注意と備えが必要な状況となっている。

スピアフィッシング：パーソナライズド攻撃

マルウェアの配布と情報窃取

攻撃者は、スピアフィッシングメールを通してターゲットによる不正なファイルの実行や、機密データの入力を誘導する巧妙な方式やシナリオを構成する。以下の4つの事例は、実際に攻撃に利用されたスピアフィッシングメールである。

1つ目の事例において、攻撃者は会社内部の職員を詐称した。下記の電子メールは AhnLab 職員を対象に送信されたものであるが、送信者のメールアドレスのドメインも AhnLab となっていた。実際には送信者のメールアドレスがねつ造されたものであったが、ひと目見ただけでは同じ組織内のメンバーが送ったもののように見えた。電子メールには音声メッセージの受信を知らせる内容とともに添付ファイルが含まれているが、この添付ファイルは AhnLab のサービスに偽装したフィッシングページに接続した。フィッシングページにはメール受信者の名前とメールアドレスが事前に入力されており、信頼感を与えていた。受信者がこのページからログインを試みた場合、入力されたアカウント情報はそのまま攻撃者に伝達される。

[図2] スピアフィッシングの事例1：会社内部の職員を詐称

2つ目の事例において、攻撃者はメールのスレッドをつなげ、まるで過去に複数回のやり取りがあったかのように信頼感を得た。電子メールの件名も「RE:」で始まり、過去のやり取りの延長線上にあるかのように偽装した。また、企業の電子メール作成慣行を真似し、送信者の署名を含め、多数の受信者と CC を明示した。さらには、「Caution: This email has been scanned by AVIRA ANTIVIRUS and no virus found」というメッセージを挿入して、電子メールが安全であるかのように偽装して受信者の疑念を回避しようとした。本文では、「以下の業務を進めるために添付ファイルを急いで確認する必要がある」と要求した。攻撃者はまた、数日間隔で「Reminder」と「Third Reminder」という件名の後続メールを送り、受信者を催促した。

[図3] スピアフィッシングの事例2：メールのスレッドをつなげ、信頼感を構築

3つ目の事例は、外部と頻繁に電子メールをやり取りする職員を狙った攻撃である。攻撃者は、企業のビジネスに関心があるふりをして受信者が特定のリンクをクリックするように誘導する。このリンクは不正なフィッシングページに接続するが、1つ目の事例と同じく、このページでログイン情報を入力すると内部のアカウント情報が攻撃者に流出する。

[図4] スピアフィッシングの事例3：リンクのクリック誘導により情報窃取を試みる

4つ目の事例において、攻撃者はターゲットの社会的関係を事前に把握し、実際に親交がある人物を詐称した。攻撃者は、電子メールの送信者アドレスのスペルを少しだけ変更し、実際のアドレスに似せて偽装した。攻撃者がソーシャルエンジニアリング手法を巧妙に利用したため、受信者は疑うことなく添付された不正なファイルを何気なく開いてしまう可能性が高い。

[図5] スピアフィッシングの事例4：ターゲットの社会的関係を悪用

専門家すらも欺く

セキュリティの専門家リサーチャーも、攻撃者によるパーソナライズされたスピアフィッシング攻撃に騙されることがある。Google の Threat Analysis Group (TAG)が過去に発表した New campaign targeting security researchers と Active North Korean campaign targeting security researchers レポート(外部サイト、英語にて提供)によると、北朝鮮が背後にいることと推定されている攻撃者たちが巧妙なソーシャルエンジニアリング手法を利用して、セキュリティリサーチャーを対象にスピアフィッシング攻撃を実行していると明らかにした。

攻撃者は、セキュリティリサーチャーの関心事と研究分野を把握し、それをもとにパーソナライズされたフィッシングメールを送り、攻撃を試みる。セキュリティリサーチャーたちが興味を持ちそうなテーマでブログを運営したり、ソーシャルメディアを利用して親密な関係を形成する。その後、最新のセキュリティ問題に関する解析資料だと言いながらマルウェアが含まれたドキュメントを送信したり、興味深い脆弱性を発見したと言いながら不正なリンクが含まれた電子メールを送信したりするなどの方法で攻撃を行う。

2023年には、リンクトイン(LinkedIn)を通じて偽の採用提案を送り、セキュリティリサーチャーを攻撃する事例も確認された。攻撃者は、採用担当者に偽装して接近したあと、WhatsApp で会話を続け、マルウェアが含まれたドキュメントを送信する手法を使用した。^[3]

攻撃者は、AI 技術と緻密なシナリオを利用して巧妙かつ精巧な攻撃を試みている。我々は、緊急そうな要請や信頼できる人物からの連絡だとしても、必ず送信者の身元を確認し、要請内容の妥当性を慎重に検討する必要がある。

関連記事

1. オンラインスキャム：あなたは詐称、脅迫、騙しの手口から安全ですか？
2. オンラインスキャム：スキャム(Scam)とは？
3. オンラインスキャム：携帯電話で遭遇した詐欺
4. オンラインスキャム：脅迫と企み、そして被害者
5. オンラインスキャム：ただ簡単に素早くお金を稼ぎたかった
6. オンラインスキャム：これが偽物だなんて？本物と偽物の区別方法
7. オンラインスキャム：誰であっても避けることが困難なスキャム
8. オンラインスキャム：では、私たちは何をどうすべきか？

[1] Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’ | CNN
[2] この電子メールは、AhnLab メールセキュリティフィルタリングシステムで遮断された
[3] Security researchers targeted with new malware via job offers on LinkedIn (bleepingcomputer.com)