Photo By Shutterstock
コーポレートサイトに、取引先として有名企業の名を誇らしげに載せている会社をよく見かける。自社の信用度や技術力の高さをアピールするために、有名企業との実績をPRする意図は理解できるし、その効果もかなりのものだろう。しかし、同時に相応のリスクが生じていることを理解している企業は、あまり多いとはいえない。
なぜ、有名企業と取引のあることを表明するとリスクが生じるのか。それは、その会社が有名企業を狙った攻撃の足がかりにされてしまう危険性があるからだ。
文:伊藤僑
攻撃者は攻略可能な“穴”を探す
有名企業を狙う攻撃者は世界中にいるため、情報システム部門はその危険性を熟知しており、サイバー攻撃に対する守りをしっかり固めている。外部からの侵入を防ぐファイアウォールや不正侵入検知・防御システム(IDS・IPS)、サンドボックスなどの高度なセキュリティ対策に加え、社員ひとりひとりのサイバー犯罪防止に対する意識も高い。高度な技術を有する攻撃者といえども、そう簡単には攻略できない。
そこで攻撃者は、“穴”を探そうとする。狙った企業そのものの攻略が困難と分かれば、その企業と取引があって、セキュリティが脆弱な企業を狙うのだ。
拡大するビジネスメール詐欺の被害
昨年話題になった、ビジネスメール詐欺(BEC : Business Email Compromise)というサイバー犯罪の手口をご存じだろうか。米連邦捜査局(FBI)によると、BECの被害は世界中に拡大しており、その被害総額は約53億ドル(2013年10月~16年12月)に上るという。
FBIのビジネスメール詐欺の手口を紹介するページ
日本企業も他人ごとではない。
2017年12月には、日本航空が約3億8,000万円をBECによって騙し取られている。その手口は、取引先を装ったメールで旅客機のリース料などの振込先を変更するように依頼し、偽の銀行口座に振り込ませるというものだ。
被害は免れたものの、スカイマークにも詐欺メールが送りつけられていたことが判明している。
なぜ、セキュリティ意識が高いはずの航空会社の担当者は、メールが偽物であることを見抜けなかったのだろうか。
それは、何らかの方法で、取引先とやり取りされているビジネスメールの内容を盗み見て、メールの書式や文体を把握し、そっくりに真似ていたためとみられている。
長い時間をかけることで信用させる手口
今年1月、仮想通貨取引所のコインチェックから、約580億円相当といわれる巨額の仮想通貨NEMが流出した事件でも、犯行にはメールが用いられていた。
攻撃者は、外部からコインチェックの社員宛にマルウェアを仕込んだメールを送りつけ、業務用PCを感染させることで社内ネットワークに侵入することに成功している。
ここでも、セキュリティ意識が高いはずの仮想通貨取引所の社員が、疑うことなくマルウェアが仕込まれた攻撃メールを開いてしまっていることに疑問を感じる人が多いのではないだろうか。
攻撃を成功させたポイントは、“時間をかける”ことにあった。有名企業への攻撃が成功すれば大きな利益を見込めるので、攻撃者は時間や手間を惜しまないようになってきているのだ。
まず、SNSなどを通じてシステム管理権限を有する技術者を割り出し、それら複数の技術者に対して接触を試みる。うまく知り合うことができれば交流を重ね、信用が得られるまでの一定期間(同例では半年ほど)は、一切不審な行動は控える。そして、信用を得られたと確信できてから、マルウェアを仕込んだメールを送りつける。
このように人の心の隙を突く攻撃(ソーシャルエンジニアリング)は防ぐことが難しい。常日頃から会社全体で危機意識を共有しておくことが大切だ。
防備の弱い取引先企業が狙われる
これら2件の被害例をみてもわかるように、セキュリティ意識の高い人でも一定の信頼関係を築いている相手に対しては警戒を緩めてしまう場合が多い。だからこそ、取引先の社員を装うことがサイバー攻撃には効果的なのだ。
システム上の脆弱性を見つけ出して攻撃し、ネットワークに入り込む。SNSなどを通じて親交を深め、頻繁に連絡してくるようになる。顧客や関係者などを装ってメールをやり取りする関係を築く。
様々な手口を使って攻撃者はターゲットに接触を試みてくる。攻撃者にとって、有名企業に比べれば中小規模の企業が導入できるセキュリティ対策の強度は低いので、はるかに攻略しやすいことだろう。
サイバー犯罪による多くの被害が報告されるようになったことで、有名企業はさらに防備を固めている。直接攻撃することが難しくなれば、防備の弱い取引先企業が狙われる可能性はますます高くなってくる。
取引先として有名企業を記載したいのであれば、それなりのセキュリティ対策をしておかないと、相手に多大な迷惑をかけることになることを肝に銘じておこう。