標準型攻撃とは 3

狙われる大企業

2017年12月20日、日本航空が取引先を装ったメールにだまされ、3億8,000万円以上を振り込んだというニュースが報道されました。航空機1機と3ヵ月分のリース料、貨物業務の委託料として、前述の金額をメールで指定された香港の銀行口座に送金したとのことです。

日航3.8億円詐欺被害=偽メール指示で送金

これがまさに独立行政法人 情報処理推進機構(IPA)が、この3年間、組織に対して最も脅威であると警告していた標的型のサイバー攻撃です。なりすましというソーシャルエンジニアリングを駆使した手口をもちい、攻撃を受けた企業に、結果的に多大な被害が出てしまいました。

このケースは、手口が巧妙極まりなく、どんな担当者でも騙されてしまいかねないくらいのものでした。

実際に日本航空が受けた攻撃は、「ビジネスメール詐欺(BEC=Business E-mail Compromise)」という攻撃です。ビジネスメール詐欺とは、巧妙に加工したメールのやりとりにより、企業担当者を騙し、攻撃者の用意した口座へ送金させる詐欺の手口です。2017年2月には日本でも逮捕者が出たと報道がありました。

メールをハッキング、詐欺容疑などでナイジェリア人逮捕

報道によると、被害金額3億8,000万円は大きく2件の送金に分類されますが、日本航空が騙されて送金した手口はこうです。

旅客機リース料、約3億6,000万円の被害

・ 2017年9月、支払先である海外の金融会社の担当者になりすました偽の請求書が届いた。
・ リース料の振込先の口座が香港の銀行に変更された、などと記されていた。
・ 日本航空の担当者は、指示通りの口座に振り込んだ。
・ 振込後、全額が引き出されて回収不能になった。

地上業務委託料、約2,400万円の被害

・2017年8月、貨物の業務委託料について日本航空のアメリカある貨物事業所に支払先口座の変更を伝えるメールが届いた。
・日本航空の担当者は、変更された香港の銀行口座へ、2回にわたり合計約2,400万円を振り込んだ。

上記2件で恐ろしい点は、
・リース料、地上業務委託料とも、それぞれ架空の請求ではなく、日本航空が実際に払わなければならない請求だった。
・日本航空の担当者と、金融機関側の担当者とメールでやり取りした直後に、金融機関側の担当者をかたったメールが届き、「訂正版」として偽の請求書が送られてきた。
・金融機関側の担当者をかたったメールのアドレスは、正規の金融機関の担当者のメールアドレスと1文字違いで見分けが困難だった。
・請求書のフォーマットも先に正規で送られてきた請求書と、レイアウト、ファイル形式(PDF)ともにほぼ同じだった。

メールのやり取りが盗み見されていた可能性

以上の状況から総合的に考えると、この詐欺攻撃をしかけたハッカーは、日本航空と金融機関のメールのやり取りを覗き見ることができていた可能性があるということです。

両社のメールのやり取りを覗き見できるようになる可能性としては、下記のようなケースが考えられます。

・どちらからのメールサーバ自体が乗っ取られた。
・どちらかの担当者のメールアカウントの情報が漏れて、自由にアクセスできる状態だった。
・どちらかのパソコンに、マルウェアがしかけられていた。

メールアドレスの偽装方法は様々考えられますが、偽メールの送信者のメールアドレスが、正規の金融機関担当者のメールアドレスと「1文字違い」だったとのことですが、1文字違いが、@マークより前の「アカウント名」であり、@マークより後ろの「ドメイン名」が正規のものであった場合、金融機関側のメールサーバが乗っ取られていた可能性が考えらます。

いずれにせよ、日本航空は、標的型攻撃のターゲットにされ、実際に多額の被害が発生してしまったのですが、通常のソーシャルエンジニアリングの手口と、マルウェアもしくはサーバ乗っ取りの複合技を仕掛けられた可能性があり、サイバー攻撃の高度な進化がみてとれます。

実は、日本航空に実害が出る以前に、同じく日本の航空会社であるスカイマークでも、同様の手口で攻撃がしかけられていました。

スカイマークの場合は、請求額を振り込みんだのですが、その際、振込先の口座が凍結されていたので実害は発生せず、詐欺未遂となりました。

スカイマークの手口はこうでした。
・2016年6月、取引先の担当者を名乗るものから、約40万円の請求書が届いた。
・支払先は、香港の銀行口座に変更すると記載されていた。
・スカイマークの担当者はだまされて振り込もうとしたが、すでに口座が凍結されていたため、振込はできなかった。
・その後、取引先に確認したところ、偽メールだったと判明した。

その後、スカイマークは2017年10月に同様の攻撃をしかけられたが、2016年の未遂事件について社内で注意喚起を行っていたため、担当者が取引先への問い合わせたところ、偽メールだと判明し、被害を未然に防ぐことができたとのことです。

次回は、このように高度化する標的型攻撃の被害からどのように身を守るかを見ていきます。