海の向こうの“セキュリティ”

いわゆる「BEC詐欺」の目的は何? Barracudaによる実態調査 ほか

いわゆる「BEC詐欺」の目的は何? Barracudaによる実態調査

 いわゆる「BEC(Business Email Compromise)詐欺」の被害が日本でも発生し、多くの企業や組織が現実の脅威として認識するようになってきている中、米Barracudaは自社の顧客向けサービスで得られたデータからランダムに選択した3000件のBEC攻撃を調査した結果を公開しました。

 一般的に「BEC詐欺」と言った場合、実在の人物になりすましたメールを対象者に送りつけ、指定した口座に送金させるといった詐欺行為を指すことが多いですが、Barracudaの定義では範囲が広く、攻撃者の目的別に以下のように分類しています(基本的には標的型攻撃メールと同じ)。

BECの目的メール内のリンクの有無割合
電信送金なし46.9%
悪意のあるリンクのクリックあり40.1%
信頼関係の確立なし12.2%
個人情報(PII)の窃取なし0.8%[*1]
*1:原典では12.2%となっていますが、本文での説明から0.8%の誤記と考えられます。

 Barracudaは、上記の結果が示すように、メール内にリンクのないものが59.9%を占めており、これが典型的なメール防御システムでの検知を困難にしていると指摘しています。

 また。「信頼関係の確立」を目的としたメールは、まずメールでやり取りをすることで信用させるというもので、ほとんどの場合、最初のメールに返信すると、攻撃者は電信送金を依頼してくるようです。

 BEC攻撃の受信者となりすまされた送信者についてまとめたのが以下の表です。

役職受信者の割合なりすまされた送信者の割合
CEO2.2%42.9%
CFO16.9%2.2%
経営幹部レベル(C-Level)10.2%4.5%
経理・財務/人事16.9%2.2%
その他53.7%48.1%
なりすまされた送信者の役職別の割合(「Barracuda Blog」2018年8月30日付記事『Threat Spotlight: Barracuda Study of 3,000 Attacks Reveals BEC Targets Different Departments』より)
受信者の役職別の割合(「Barracuda Blog」2018年8月30日付記事『Threat Spotlight: Barracuda Study of 3,000 Attacks Reveals BEC Targets Different Departments』より)

 送信者としてCEOになりすますケースが最も多いですが、それでも6割近くはCEO以外です。また、受信者は圧倒的に「その他」が多いことから、単に機密情報を扱う部署の従業員を守ればよいというわけではないことが分かります。この結果は、従業員向けの啓発・教育のあり方を考える上で重要なポイントでしょう。

EUの電気通信事業者が被ったセキュリティインシデント

 EUネットワーク情報セキュリティ局(ENISA:European Union Agency for Network and Information Security)は、EU(+ノルウェーとスイス)で2017年に電気通信事業者が被ったセキュリティインシデント169件についてまとめた年次報告書を公開しました。この169件は、各国の電気通信事業者の監督省庁から報告されたものです。

 報告書の主要なポイントは以下。

  • 51%は携帯電話通信でのインシデント。
  • 62%はシステム障害が原因(例年、60%から80%)。主にハードウェア障害、ソフトウェアのバグ、不完全なソフトウェア更新。
  • 17%は異常気象などによる自然現象が原因。過去3年間の5%前後から大幅の増加。大雪、嵐、山火事など。
  • 22%は停電が原因。
  • DoS攻撃やケーブルの盗難のような悪意のある行為によるものは2%のみで、前年の5%の半分以下に。
2017年のインシデント
2012年から2017年までの推移

 攻撃(悪意のある行為)にもとづくインシデントがとても少なく見えるかもしれませんが、ここで取り上げられているセキュリティインシデントの多くは「可用性(Availability)の侵害」であるという点に注意が必要です。

 その他にも本報告書では、インシデントの影響を受けた顧客の人数などについてもまとめています。

保護医療情報のデータ侵害に関するVerizonによる報告書

 保護医療情報(PHI:Protected Health Information)は、「保護(Protected)」の文字通り、最も慎重に取り扱わなければならない個人情報の1つです。一方で、医療機関を狙ったサイバー攻撃は近年多発しており、PHIが安全に守られているのか不安に感じている人も少なくないと思います。そのような中、米Verizonは「保護医療情報データ侵害報告書(PHIDBR:Protected Health Information Data Breach Report)」の2018年版を公開しました。報告書自体は今年の春先に公開されていたのですが、8月末から9月にかけていくつかのメディアが紹介したことで改めて注目されました。調査対象は、Verizonが毎年公開している「データ侵害調査報告書(DBIR)」の対象データのサブセットとなる1368件のインシデントです。

 この報告書で最も注目されているのは、インシデントの6割近くに内部の人間が関与しているという点です。このように内部の人間が最大の脅威になっているのはヘルスケア業界のみとのことです。

 また、判明している範囲では、動機の多くは金銭ですが、内部の者の場合は悪ふざけや好奇心の割合も少なくないという点は気になるところです。

 他に注目すべき点としては、以下の点が挙げられています。

  • 医療機器に対する攻撃がメディアの注目を集めているが、侵害の対象として最も多いのはデータベースや紙の文書。
  • マルウェアによるインシデントの70%はランサムウェアの感染によるもの。
  • PHIを暗号化せずに保存しているノートPCの紛失や盗難は、いまだにデータ侵害の主な原因の1つ。

 脅威となったアクションを大きく分類したのが以下の図です。

 それぞれの分類の内訳を図示したのが以下の図です。

「Error」
「Misuse」
「Physical」
「Hacking」
「Malware」
「Social」

 インシデントの検知までにかかる時間を示したのが以下の図です。

 Verizonは結論として(一般論ではありますが)、ディスク全体の暗号化やPHIへのアクセスの監視などを対策として挙げています。

 医療系特有の傾向はありますが、機微情報の管理という点では、他の業種でも本質的な部分では大きく違わないと思います。まずは「他人事」と思わず、自組織のセキュリティ対策の参考情報として、ざっと目を通してみることをお勧めします。

山賀 正人

CSIRT研究家、フリーライター、翻訳家、コンサルタント。最近は主に組織内CSIRTの構築・運用に関する調査研究や文書の執筆、講演などを行なっている。JPCERT/CC専門委員。日本シーサート協議会専門委員。