Rate this article:  

先月、複数のコレスポンデントから、GardのCEOから未払金の支払いに関する詳細を尋ねる不審なメールを受け取ったとの連絡を受けました。今回はその件についてGardのテクノロジー・セキュリティ部門のセキュリティアドバイザーであるEili Bjelkåsenがお話しします。詐欺師の行動を知ることは、皆さん自身、そして会社を守る方法を理解するためのカギとなります。

こちらは、英文記事「Is targeted phishing really that impossible to resist?」(2020年4月15日付)の和訳です。

詐欺師は信頼できるソースから送られたように装った電子メールを作成して「フィッシング」を行い、受信者を騙して機密情報を提供させ、情報や金銭を盗み取ろうとします。セキュリティの専門家やメディアから、あるいはサイバーセキュリティ意識向上トレーニングの場などで「フィッシングに騙されないように」警告が発せられていますが、騙される人は後を絶ちません。攻撃者が既存の人的関係を悪用する標的型フィッシングは、組織レベルだけでなく個人レベルでも、実際によく行われる攻撃の1つとなっています。

 

どのような攻撃であったか

3月31日、複数のコレスポンデントから、GardのCEOから「支払い/インボイス」という件名で不審なメールが送られてきたという報告を受けました。

Icon quote
… can you please confirm to me the status of any outstanding/due payments? … Kindly advice as soon as possible because there has been a new development in our company so please let me know if there are any outstanding payment. (…未払いまたは支払期日の到来した支払金の状況を私にお知らせいただけますでしょうか。…当社では新しい進展があり、未払金の有無について、できるだけ早くご連絡ください。)
 
… the board and our bank has mandated that payments in our favor henceforth to be received using our subsidiary banking details. …(…今後の当社に対する支払金は当社の子会社の銀行口座を使用して受け取るよう、当社取締役会と銀行より指示されました。…)
 
… reply immediately the status of outstanding payments and due dates and also you wait to hear from us before making any further payments. (…つきましては、未払金の状況と支払期日について、至急ご返信ください。なお、今後のお支払いにつきましては、弊社からの連絡をお待ちください。)

 

これはよく知られる手口の1つで、訓練を受けた人にとっては、見知らぬ攻撃者からGardの関係者宛に送信された詐欺メールの中では比較的見つけやすい類いのものでした。詐欺師の狙いはGardに未払金がある人に、まず未払額を連絡するように仕向け、後日、自分たちの銀行口座に未払金を振り込ませることでした。一部には、メールに返信し、未払額を詐欺師に伝えてしまった方もいました。Gardでは、報告を受けた後、直ちにこの件について関係者すべてに通知したところ、幸いにも、詐欺師に金銭を支払った方はいませんでした。

 

なぜ騙される人が後を絶たないのでしょうか?

攻撃者は、時間をかけて標的にする企業を調べ上げたうえで攻撃を仕掛け、成功率を高めています。メールを例に取り、詐欺師がどのように攻撃を仕掛けてくるか、どうやって詐欺師の手口に気付けばよいのかをお話しします。

 

詐欺師はメールをカスタマイズして本物のように装います(テーラリングと言います) 

  • 今回のメールは、一見するとGardのCEOが送信したものに見えます。と言うのも、Gardのメールアドレスに似せた、通常の形式のメールアドレスが使用されていたからです。これは、攻撃者が受信者のメールサーバーにメールがGardから送信されたものであると誤認させるためのトリックです。注意深い受信者は、メールアドレスが少し「おかしい」ことに気付いていました。このメールアドレスは実在しません。一方で、返信は、攻撃者が所有するメールアドレスに送信される設定となっていました。送信元や返信先を確認するには、メッセージに表示されている「From(差出人):」の名前の上にマウスポインターを置き、メールの送信元として設定されているメールアドレスを確認します。次に、[返信]をクリックして、表示された名前の上にマウスポインターを置き、「To(宛先):」アドレスが元のメールの「From(差出人):」アドレスと一致しているかどうかを確認します。もし、これら2つのアドレスが一致しない場合は、警戒が必要です。この例では、返信する際はHotmailアドレスに送信される設定となっていました。
  • 今回のメールの署名は本物と同じにように見えました。署名の長さがやや短かったもののGardのロゴまで含まれていました。ロゴはおそらく、GardのCEOか、他の従業員の本物のメールからコピーされたもので、CEOからのメールに見せかけるために今回のメールに使用されたのでしょう。こうなると発見がやや難しくなりますが、詐欺師の使用する署名は少し古いバージョンのものであることもあるため、もし、CEOやGardの社員から最近受信したメールがあれば、そちらと比較してください。
  • 詐欺師は、文面に合わせた正しい言い回しを使おうとします。彼らは常にライティングスキルを向上させていますが、文章を読むと、正確に何がおかしいかは分からなくても、「直感」で何かがおかしいと感じます。今回の例では、「私にお知らせいただけますでしょうか」という部分が直感的に引っかかる部分ではないでしょうか。CEOが業務に関する金銭の流れを直接フォローすることは滅多にありません。私たちからのアドバイスは、こうした「直感」に耳を傾け、それを判断材料の1つにすることです。メッセージが不自然な時間帯に送信されていたり、普段来ないような送信者からだったりしませんか?言い回しがいつもの送信者とは違っていたり、単語のスペルが間違っていたりしませんか?

 

詐欺師は重要かつ緊急を装う文面を用います 

  • GardのCEOからメールが来れば、受信者は即座に重要なメールではないかと考えるのではないでしょうか。ですが、自問してください。GardのCEOがそのようなメッセージを送ったりするでしょうか?
  • 「できるだけ早めにご返信ください」や「できるだけ早めにご連絡ください」などの文言が含まれていると、メールを受け取った人は慌てます。サービス精神のある人は、緊急と聞くと、批判的に考えることを後回しにして、とにかく役目を果たそうとする傾向があります。攻撃者は人々のこうした特質を知り抜き、それを悪用する術を持っているのです。落ち着いて文面を読めば、「advise(〔動詞の〕アドバイス)」という単語のスペルが間違っている(「advice」になっている)ことに気付くでしょう。

 

詐欺師は興味を引く内容を盛り込みます

  • 例えば「当社ではある進展があり」などの文言がメール受信者の好奇心をかき立てるかもしれません。返信や支援を行えば、何が行われているかが詳しく分かるかもしれないと思いますか?こうした手口があることを意識して、引っかからないようにしてください。

 

詐欺師は最新情報を織り込みます

  • 本稿執筆時点で、新型コロナウイルス感染症(COVID-19)のパンデミックに乗じたフィッシング行為が多発しています。現在、多数の企業の従業員がリモートワークを行っている影響で、同僚に質問する機会が減っている可能性があります。パンデミックのもう1つの影響は、現在、多くの企業が財務面で厳しい状況に置かれていることです。このため、財務関連のトピックを含むメールが増加する可能性があります。攻撃者が現在発生中のパンデミックを利用することが予想されるため、フィッシング詐欺に一層警戒することが重要です。

 

今後について

フィッシングやフィッシング関連の攻撃には、他にも複数の特徴やトリックが存在します。今回は事例を挙げて最も顕著な特徴とトリックに絞り、説明を行いました。ほとんどの場合、攻撃者はユーザーを騙し、ユーザーがアクセス権を持つITシステムにアクセスするためにユーザー名とパスワードを送信させようとしたり、ユーザーのデバイスにさまざまな種類のマルウェアに感染させる悪意ある添付ファイルを開かせようとします。今回送られたメールでは、こうした手口は使用されていませんでした。使用されていれば発見が難しくなっていた可能性があります。今回のメールには添付ファイルやリンクが含まれておらず、今日よく見られるフィッシングの特徴は見られませんでした。

 

結局のところ、電子メールは本質的に無防備であるという驚くべき事実に行き着きます。1982年に設計され、現在も使用され続けているSMTPプロトコルは、「インターネット」が信頼されていた時代に作られたものです。電子メールは昔ながらの手紙と似ています。送信者はメールの差出人フィールドや封筒の裏にあたる部分に好きなように書き込むことができます。後年、オリジナルのプロトコルに、セキュリティの強化や通信相手を検証するための修正が行われましたが、これらの修正が機能するには、関係者全員がこれらを正しく実装する必要があります。そのためには、ビジネス側とIT側が協力し、上記の修正によるそれぞれに対する影響を把握する必要があります。規模や文化の異なる通信相手が世界中に点在する企業にとって、これは極めて難しいことかもしれません。

 

Gardは、全社員を挙げて「セキュリティSTAR」(すべての人に推奨できる対策)を実践されることを推奨します

  • STOP(立ち止まる):メッセージに緊急と書かれていても、行動する前にいったん立ち止まる。
  • THINK(考える):実際に何が起きているかを考える。
  • ASK(尋ねる):時間を取り、同僚、あるいは(今回のケースでは)いつも連絡を取っているGardの担当者に「このメールは本当にあなたが送信したものですか?」と尋ねてください。直感的に何かがおかしいと感じていませんか?なお、質問を不審なメールに返信するようなことは絶対にやめてください。攻撃者は、「何も問題はない。自分たちの指示どおりに動けば安全だ」と答えるでしょう。
  • REPORT(報告する):可能であれば、攻撃者がなりすまそうとしている本人に知らせてください(そうすれば、その本人が対策を取れるようになります)。今回のケースでは、コレスポンデントから不審なメールについて報告が寄せられました。また、自社のIT部門かITセキュリティ部門にもこの件を伝え、標的にされそうな社内の他のユーザーに注意を喚起するようにしてください。

騙されたのではないかと感じた場合は、標的型フィッシングの発見は時に非常に困難であり、セキュリティの専門家でさえ騙されているケースがあることを思い出してください。報告し、被害の軽減や事態の解決のための助けを得るのに、遅すぎるなどということはありません。

本情報は一般的な情報提供のみを目的としています。発行時において提供する情報の正確性および品質の保証には細心の注意を払っていますが、Gard は本情報に依拠することによって生じるいかなる種類の損失または損害に対して一切の責任を負いません。

本情報は日本のメンバー、クライアントおよびその他の利害関係者に対するサービスの一環として、ガードジャパン株式会社により英文から和文に翻訳されております。翻訳の正確性については十分な注意をしておりますが、翻訳された和文は参考上のものであり、すべての点において原文である英文の完全な翻訳であることを証するものではありません。したがって、ガードジャパン株式会社は、原文との内容の不一致については、一切責任を負いません。翻訳文についてご不明な点などありましたらガードジャパン株式会社までご連絡ください。