Special
» 2018年11月07日 10時00分 公開

隠しきれない「詐欺メールの特徴」を検知せよ:Office 365を狙うビジネスメール詐欺、見破るための具体策は?

2017年に「Office 365」をすり抜けトレンドマイクロのサービスで検知したビジネスメール詐欺の数は3000を超えていたという。見破るために企業は何をしておくべきか?

[PR/@IT]
PR

 お世話になっている取引先から「先日納品分から振込先が変更になりました。至急こちらの口座にお願いします」というメールが来たらどう対応するだろうか。

 そんな手口で担当者をだまし多額の金銭を詐取するのが「ビジネスメール詐欺」(BEC)だ。2017年12月に発表された大手航空会社のBECでは、同様の手口で約3億8000万円がだまし取られた事件が複数報道された。最近では「Office 365」を狙ったBECも増えており、2017年にOffice 365をすり抜けトレンドマイクロのサービスで検知したBECの数は3000を超えていた。

 単純な手口なのにだまされてしまうのは、文面や肩書はもちろんシグネチャも含めて本物そっくりのメールが届くからだ。攻撃者はあらかじめターゲットの会社にキーロガーを仕掛けたり、フィッシング詐欺で正規ユーザーのID/パスワードを入手したり、時間をかけてメールを盗み見し、取引のいきさつや社内プロセスについて情報を収集している。本稿ではBECの手口をまとめるとともに、具体的な対策方法を徹底解説する。

根本的なBEC対策を取るなら、アカウント情報を狙う第一段階で検知を

トレンドマイクロ プロダクトマーケティングマネージャー 吉田 睦氏 トレンドマイクロ プロダクトマーケティングマネージャー 吉田 睦氏

 BEC対策というと、最後に送金を指示してくる、なりすましメールの検知に注目が集まりがちだが、根本的な対策を講じるならば、それ以前のアカウント窃取によるメールの盗み見を防ぐことが重要だ。つまりフィッシング対策や既知や未知のキーロガー対策が最初の一歩となる。

 トレンドマイクロによると、「Office 365」をはじめとするクラウドサービスの普及に伴ってフィッシングはより容易になりつつあるという。こうしたメールサービスのログイン画面はWebで誰もが閲覧・検索が可能なので、その気になれば誰でも模倣できる。つまりフィッシングサイトが簡単に作れるということだ。それらを見破りブロックすることが重要だ。

 その上で送金を指示するなりすましメール対策も必要になるが、「こうしたメールを見破るのは非常に難しい。マルウェアの添付や不正なURLの記載があるわけでもないので、エンドポイントセキュリティやサンドボックスといった従来の対策では防げない」と、トレンドマイクロの吉田 睦氏は指摘する。

 最近ではスパムメールやフィッシングメール対策として、DMARCなどの送信ドメイン認証技術も提唱されているが、普及率はまだ低い。攻撃者側が堂々と送信ドメイン認証技術を採用するケースまであるという。例えば「trendmicro.co.jp」に見せかける「trendrnicro.co.jp」という紛らわしいドメイン名を取得し、その正当な所有者としてDMARCを登録する。すると技術的には「なりすましではない正しいメール」として処理され、ゲートウェイでのフィルタリングや送信ドメイン認証もすり抜けてしまうのだ。

 これでは対策を打つことができない。どうすればよいのだろうか。

Copyright © ITmedia, Inc. All Rights Reserved.


提供:トレンドマイクロ株式会社
アイティメディア営業企画/制作:@IT 編集部/掲載内容有効期限:2018年12月31日

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。