HOME > U+(ユープラス) > 奇論・暴論 > 第394回 新手のサイバー犯罪 〜「ビジネスプロセス詐欺」〜

U+(ユープラス)

U+のTOPへ

寄論・暴論

コラムニストの一覧に戻る

※一部重複箇所がありましたので、訂正させていただきました。

第394回 新手のサイバー犯罪 〜「ビジネスプロセス詐欺」〜

2017/01/16

上司や取引先になりすまし、経理担当者などに偽の「送金指示」、偽の「送金依頼」のメールを送ってお金をだましとる、いわゆる「ビジネスメール詐欺」は依然として猛威をふるっているようだが、海外ではさらに複雑な「ビジネスプロセス詐欺」が現れているらしい。

セキュリティソフト大手のトレンドマイクロによると、ビジネス界の新たな脅威として今年気を付けなければならないのが上記の「ビジネスプロセス詐欺」である。これは「ビジネスメール詐欺」の発展形である。

典型的な例が、16年、バングラデシュ中央銀行で起きたハッキング被害だった。犯罪者は同行内部の送金プロセスに着目し、同行の送金手順を十分に研究した上で、このプロセスに割り込んで偽の指示を行い、不正な送金を実行させたものだった。銀行の業務プロセスにまで入り込んで「偽のプロセス」として指示を出し、疑われることなく偽の指示が伝達されて、不正な送金が行われる。あまりに見事に不正送金が行われるので、トレンドマイクロでは「ビジネスプロセス詐欺」と名付けたという。

「ビジネスメール詐欺」では、上司や取引先の偽の指示メールが人を介して処理されるので、金額が大きくなれば、人が不審に思って念のために別の方法で確認するのが通例である。その過程で犯罪に気が付き、犯罪防止につながることがある。しかし、システム的に業務プロセスに割り込んでくるとシステムの内部でプロセスが自動進行するので、人の目に触れず、人が不審を抱くきっかけがない。

本来なら気が付くはずの巨額の不正な送金でもシステムは見逃してしまう。被害金額は大きくなる。バングラデシュ中央銀行の被害額は8100万米ドル、日本円にしてざっと100億円近くに上るという。

セキュリティ担当者には気の毒だが、こうした新手の犯罪は次々に考案されてくる。セキュリティ担当者が独り、頭を悩ます犯行手口である、というレベルは超えている。金額の大きさからみても、セキュリティ担当部門に責任を押し付ける範囲は超えている。

サイバー攻撃に対する防御線は終わりのない戦いである。情報ファイルの安全性については「秘密分散処理」によって根本的な保護が実現できたようだが、守るべきシステムは各所に分散されている。残念ながら、あらゆるリスクに対応できる万能の防御策は存在しない。守る側としてはさまざまなセキュリティ手法を総動員して情報を守らなければならない。再び気を引き締めて。サイバー攻撃に柔軟に応じることを余儀なくされそうだ。

トレンドマイクロ社によると、16年には「ビジネスメール詐欺」の脅威が世界的に猛威を奮って来た。17年には、この脅威が継続するとともに、さらに進化して「ビジネスプロセス詐欺」と呼ぶべき新たな攻撃が登場してくると見られ、十分に警戒するように警告している。

まず、目下急増中の「ビジネスメール詐欺」だが、これは、何らかの方法で取得した社内関係や取引先関係の情報やメールアドレス情報を基に、経営者や取引先になりすまし、企業や団体、各種機関の財務会計担当者に「偽の送金指示」などを行って被害を出している。詐欺を仕掛けてくる側は、組織内情報を窃取して不正メールを財務会計担当者に送り付けることで、高額な金銭をだまし取ることができる。

米国FBIの報告を基にトレンドマイクロが分析したところによると、「1件当たりの平均被害額が約14万米ドル、日本円にして1600万円以上に上る」ということだ。

さらに、複雑な犯行である「ビジネスプロセス詐欺」はこの「ビジネスメール詐欺」の発展版である。

サイバー犯罪は日進月歩。次々と新手が現れてくる。その犯罪の足がかりを作らないように、情報ファイルの防御がますます重要になる。

上記のコラム購読のご希望の方は、右記の登録ボタンよりお申込みください。

登録はこちらから