偽装ドメイン:架空ドメインによる送金スキーム (その1 全4回)
Domains in Disguise: Fake domain wire-transfer scheme
典型的なフィッシング詐欺スキームを使い、不正実行者たちは、会社のメールアカウントを操作し、警戒心の低い従業員を利用して不正送金を開始させる。読者がクライアントをこの不正から守るため、不正実行者がいかにして被害者を罠に誘導するか明らかにする。
経理スタッフのサムは、最近、ABCタイヤ社に、中途入社したばかりだった。新しい職場で働き始めた彼は、成果を見せようと張り切っていた。そんな彼が働き始めた最初の週に、彼は会社のCEOからメールを受け取った。そのメールには、次のように指示が書かれていた。 「$205,250.29を大至急、下記の銀行口座に送金するように。費用科目は、専門的サービス費とする。送金が完了したら、確認のため、私にメールを送るように。よろしく。Gary, CEO」
サムは、直ちに指示に従い送金を完了させた。翌日、サムは、CEOがオフィスの中を歩いて来るのを見かけた。すれ違いざま、サムは微笑みながら報告した。「CEOが指示した送金は、直ちに実行しました」それを聞いて、CEOは答えた。「送金とは、何のことだ?」
入社間もないのに経営トップからの仕事をこなして少々得意になっていたサムは、それを聞き、自分がした事を理解してひどくショックを受けた。彼はインターネット詐欺の被害者になったのだ。そのCEOからのメールは、会社のドメインから送られたように見せかけた、なりすましのメールであった。
このシナリオは、あらゆる国際的な組織で起こっている犯罪を描いている。我々の会社は、企業を欺いて海外の銀行口座を持つ「取引先業者」へ不正に電信送金させる事例の報告を2014年春から、受けつけ始めた。当初は、一般的なフィッシング攻撃に類似する事案と認識されていた。(つまり、サイバー犯罪者がユーザ名やパスワードなどの個人情報(PII)をフィッシングで手に入れるため、受信者にリンクをクリックしてログインするように促す本物のように見える電子メール電子メールを利用する。被害者はそのサイトでPIIを入力してしまい、フィッシング詐欺が行われる)
しかし、直ぐに、次の3つの特徴があることが分かった。
1)あたかも自分の勤務先の社内からのメールであると思わせるように、意図的に作られたドメインを使っている。
2)送金を実施した会社が、被害金額の全額を被った。送金に関わった銀行には金銭的な被害はない。
3)警戒すべき高い成功率を誇っていた。このことは、このスキームが確実に増えて行くことを示した。
この種の不正スキームでは、経理担当者が、会社の「経営幹部」から海外の新規取引先を装った銀行口座に送金するよう指示を受ける。そして送金が完了した後に、そのメールは虚偽だったことがわかる。
我々の顧客からこのような報告が増えて来た時期に、アメリカ合衆国シークレットサービスは、偽のメールドメインを使い、先に述べた3つの特徴を持った電信送金不正が、米国内で広く発生していると公表した。
このスキームの調査の中で、不正実行者について次の点が明らかになった。
●組織内の送金担当者と経営責任者が誰であるか知っていた。
●狙った組織の送金の上限額を知っていた。
●電信送金の担当者のメールの受信ボックス、カレンダー、ボイスメッセージにアクセスできた。
●(金額と送金を完了するための指示を除き)通常の送金指示と似た言葉が使われていた。
●送金は、初めて取引する「業者」への送金として指示された。
このスキームの手口内容とその高い成功率から、当初は、組織内の誰かが不正を手助けしていると思われた。調査したそれぞれの事例では、組織内では、経営幹部、そのアシスタント、それに経理担当者しか知り得ないような秘密情報を利用していたように思われた。しかし、しばらくして、不正実行者たちが、内部の助けを必要としていなかったことが判明した。彼らは、標的になった組織のシステムに巧みに侵入し、秘密裏に経営幹部と社員間のメールを読んでいたのだ。フィッシング攻撃、またはソーシャル・エンジニアリングを通し、犯行者たちは、送金の担当者名、送金の上限金額、経費の記録、送金に関する銀行の手続きを事前に把握していた。
犯行者たちは、警戒心のない経理スタッフに、経営幹部の名前でメールを出す適切なタイミングを計っていた。(最も良いタイミングとは、送金を指示できる者が、出張中かその他の理由で不在もしくは連絡がつき難く、その一方で、偽のメールで送金手続きを実行する担当スタッフが会社にいる状況だ)
(その2に続く)
----------------------------------------
初出:FRAUDマガジン44号(2015年6月1日発行)