一口にビジネスメール詐欺(BEC)対策と言っても色々な対策が存在します。また、これさえやっておけば”絶対に”被害を防げるという対策は存在しません。オレオレ詐欺にもバリエーションがあるように、ビジネスメール詐欺にも様々なバリエーションがあるからです。
今回は全般的な概論について触れたいと思います。
1. なりすましを見抜く
まず、よくある手口はなりすましです。なりすましを見抜けるだけでも大幅に被害に遭う可能性を減らすことができます。なりすましにも様々な方法があります。
多くの場合は差出人を詐称する方法を使います。電子メールは差出人を詐称することが簡単にできてしまいます。その為、それを見抜く対策が必要です。
(1) 差出人表示を詐称する Outlookなどのメールソフトで表示される差出人欄の情報は簡単にごまかすことができるため、一番なりすましに使用されます。多くあるケースは実際の送信元とは違うサーバから送信してくるケースです。この場合、なりすましに利用されるメールアドレスやそのドメインは実在するものを使用しますので、メールソフトに表示された差出人欄には実在の差出人に見えますが、実際には送信元とは別の詐欺師がなりすましたメールを送っています。
この手法は送信ドメイン認証技術を使用することで自動的に確認することができます。
なりすましメールの場合、なりすましているドメインとは違うサーバから送信されるケースが多い為、メールの差出人が正規のドメインから送信しているかどうかを判定することはなりすましを見抜く上で重要な要素となります。
(2) 似たドメインを使用する
example.comではなくexamp1e.comの様に似たドメインを使用するケースもあります。このケースでは送信ドメイン認証が有効になっている場合もあるので注意が必要です。
対策は送金関連の取引を行う企業がメールに使用しているドメインを予めデータベースに登録しておき、それと一致する場合には何らかの目印をつける様な方法です。
AIによってこの判定を自動で行う製品もありますので導入を検討されてもいいかもしれません。
その他、なりすましを見抜く方法や、なりすましの仕組みの詳細は次のWebサイトでもご紹介しております。興味のある方はそちらもご覧ください。
なりすまし対策ポータル ナリタイ
https://www.naritai.jp/
2. ログインIDを守る
では、なりすまし対策を行っても、攻撃側がログインID・パスワードを入手して乗っ取った本物のアカウントを使用していたらどうでしょうか。受け取った側は見抜く方法がありません。
仮に上司のログインIDが乗っ取られてしまった場合、恐らく殆どの社員の方はその乗っ取られたログインIDからの送金指示に従ってしまうことでしょう。
ログインIDの乗っ取りを対策するには次のようなやり方があります。
(1) フィッシングやマルウェアからアカウントを守る
基本的にはメールの中身をチェックして危険がないか確認をするセキュリティフィルタやメールの入り口でチェックを行うセキュリティゲートウェイの導入で大半の攻撃を防ぐことが出来ます。殆どの企業では既に使っているところが多いと思いますが、フィッシング等に対して強くないフィルタの場合には、強いものに変更することも視野に入れる必要があります。
(2) ブルートフォース攻撃や辞書攻撃等からシステムを守る
大概の送信メールサーバでは標準機能で対策がされています。反面、受信メールサーバでは対策をしていないサーバもあり、狙われるケースがあります。受信メールサーバ側でもこのような攻撃検知やブロッキング等対策が必要です。
(3) 乗っ取られたログインIDを使われない様にする
乗っ取られたログインIDを使用されてしまった場合、管理者責任を問われるケースもあります。また、攻撃する側が乗っ取った社長や会社幹部のログインIDを使って社員へ送金指示を出すケースもある為、万一乗っ取られた場合でも攻撃者に使われない様にする必要があります。
その為、幹部や権限を持っているユーザは生体認証等を含めた多要素認証を行うことで乗っ取られたログインIDの利用を防止することが出来ます。
(4) 乗っ取られたログインIDを検知する
アカウントが乗っ取られた場合、被害が非常に大きいのですぐに検知する必要があります。
ログ検知や多要素認証との複合によって早期検知することが重要です。
3. 詐欺メールを検知する
機械的に検知するタイプのフィルタを導入する方法もあります。先程も触れた通りBECを完全に防ぐ為のフィルタの作成は容易ではありません。アプローチ手法は複数ありますが、以下の様な方法があります。
(1) 差出人表示のデータベースを用意する
メールで送金関連のやり取りを行う相手が使う差出人表示欄(Fromヘッダといいます)を予めデータベースに登録しておく方法です。通常、この差出人表示欄はOutlook等のメールソフト送信者のローカル設定に基づき自動で差し込まれるので、余り頻繁には更新されません。自動でデータベースにあるヘッダ情報と照らし合わせて、異変があった時に検知するような仕組みがあると詐欺メールの検知に一役を買います。
(2) メールの内容のフィルタリング
メールの内容のフィルタリングは一般的にばらまき型の迷惑メールやフィッシングメール等に強く、ビジネスメール詐欺のような標的型の攻撃には余り大きな効果を発揮することはありません。
しかしながら、効果を発揮する場合がありますので導入しておいて損はありません。
また、先程も触れたログインIDハッキングや情報の盗み出しに対しても効果がありますので予防の為にも必要です。
4. 業務フローを改善する
送金前にその送金先が適切なのかを確認するフローを導入することも大切です。
(1) 送金前に送金先口座が既存の取引先口座か確認する 社内に信用できる送金先口座のリストを持っておき、そのリストに無い口座の場合には相手の担当者に電話確認を行う等のワンクッションを置きます。
ただし、受け取ったメールの文中にある電話番号は詐欺師のものかもしれませんので、社内で予め用意しておく口座番号のリストには口座番号と紐付けた信頼出来る担当者の電話番号が含まれている必要があります。
その信頼出来るリストに載っている担当者に電話確認を行い、それでも問題がなければ送金します。乗っ取られている可能性があるのでメールでの確認は行ってはいけません。
(2) 送金前の口座確認を行ったかどうかの二重チェックを用意する
担当者が忙しい場合、このようなチェックを省略しがちです。特にメールの文中に【至急】やUrgentの様な送金を急がせる文言が入っている場合は尚更です。
可能であれば送金システムや送金指示の仕組みにおいて口座確認を行ったかどうか確認する仕組みが必要です。口座確認を行った際にワンタイムの時限付き文字列を発行してそれが無いと送金が確定しない様な仕組みです。
送金方法は企業によって異なる為、業務に合わせた実装が必要となります。
今回ここに挙げたのは一例です。それぞれの詳細な解説は今後このサギタイで行っていきますので、今後もご覧ください。
Comments