HOME コラム一覧 偽装ドメイン:架空ドメインによる送金スキーム (その2 全4回)

偽装ドメイン:架空ドメインによる送金スキーム (その2 全4回)

post_visual

Domains in Disguise: Fake domain wire-transfer scheme

 このスキームでは、架空のドメインを使うのが典型的な手口だ。そのドメインは、通常、海外の業者から入手出来き、その会社の本当のドメインそっくりに装い、メール受信者を不審に思わせないようにしていた。また、なりすましの対象となった幹部本人にも気づかれないようにした。
 犯行者たちは、まず、米国以外の銀行口座に送金するように指示する。その後、送金されたお金は、いくつかの口座を転々とし、最終的にはタックス・ヘイブンに所在する銀行口座に行き着く。このことにより、そのお金の回収や起訴は、不可能でなくとも、極めて困難となる。最近では、送金された金銭は、最終的に米国内の銀行口座に送られた事例もあった。
 送信された金を首尾よく手にいれた犯行者たちは、着金後、数時間から数日間で、受取口座を空にする。その結果、被害に遭った会社は、送金指示を直ちに取消すか、あるいは口座を凍結するしか、送金を回収する方法はない。もし送金が完了してしまえば、金銭的被害も確定してしまうのだ。その一方で、送金に関わった銀行には、特段被害は生じない。
 このことにより、送金を防止することが、唯一の防衛策と言える。それには、業者との取引手続きを確実に取り決めておき、送金手続きを管理し、またスタッフ間のコミュニケーションや研修を実施することが、この不正を防ぐために非常に重要である。

組織内部への侵入(GETTING INSIDE)

 被害に遭った多くの企業とって、犯行者たちがどのように自分たちの会社を標的にし、稟議承認者が誰かを突き止め、そして組織内にアクセスしたか、謎である。しかし、ソーシャルメディア・サイトで簡単な検索をかければ、多くの場合、標的となる会社の経営幹部や買掛金担当者などの現在および過去の従業員の氏名・役職・職責を把握することができる。
 もし、ソーシャルメディアが役に立たなければ、ソーシャル・エンジニアリングに長けている犯行者たちは、社員に電話をかけ、標的の個人情報を手に入れる。まんまと不正が行われた事例では、警戒心のない社員が、送金手続き、銀行口座の詳細情報やパスワードなど、重要なビジネス上の情報を、正規の第三者に成りすました犯行者に伝えていた。
 そして犯行者はフィッシング攻撃を開始し、標的となった会社の担当者一人だけでも罠にひっかかり、このスキームを遂行するに必要なアクセス情報を提供するよう誘導する。
 当初繰り返し使われた手口では、偽のGoogleドキュメントのサイトを使ったフィッシング攻撃により、狙った会社の(経理部門スタッフなどの)従業員から会社の電子メールのログイン情報を入手した。最近の例では、Googleのプラットフォーム・ホスティングサービスを利用することで能力が向上し、URLが正式なものと区別がつかないようなり、ウェブページは、Googleのログインページをほぼ完璧に模倣している。
 社員が、ウェブサイト上のフォームに、会社のメール認証情報を入力し、「ドキュメントを見る」をクリックすると、フィッシングウェブサイトにより自動的に別のページに移動し「そのドキュメントは見つかりません」と表示される。しかし、その瞬間、既にその社員のパスワード等は不正実行者たちに送信されている。これにより彼らは、メールアカウントにログインが出来るようになる。そして、社員のメールアカウントに、短時間だけでもアクセスすれば、不正実行者たちは、不正な送金を指示するために十分な情報を入手できるのだ。
 必要な情報とアクセス権を得て、不正実行者たちは、経営幹部のメールアカウントを辛抱強く監視し、不正を実行するのに最適な時を待つ。その時までには、不正実行者は、幹部のメールアカウントを完全にコントロールしており、メールを完全に削除したり、あるいは仕分けルールを作成し、自動的に受信者からの返信をゴミ箱に移動したり、アーカイブに保存することができる。いくつかの事例では、不正実行者は、経営幹部が出張しているか、その他の理由で連絡が付き難いタイミングを狙っていた。これは明らかに、送金の最終責任者である幹部からの口頭の承認を求める「折り返し電話」など確認のための銀行手続きを困難にするためである。我々は、不正実行者がこのスキームを実行する時に幹部のメールシステムをコントロールし、銀行の「折り返し電話」手続きを認識していた2つの事例を調査した。1つ目の事例では次のように報告されている。銀行は確認の電話を経営幹部にかけたが、出張中であったため、ボイスメールに、「承認のため、折り返し電話をくれる」ようメッセージを残した。不正実行者は、その経営幹部のボイスメッセージにアクセス権を持っていて、そのメッセージを傍受した。そして、実行犯の一人が経営幹部になりすまし、「ボイスメールのメッセージを聞いたが、現在出張中で、電話を折り返すことができない。この送金を承認する」と銀行にメールを送った。そして銀行は、その送金を忠実に実行した。他にも同じような手口が報告されたが、この事例では一人の社員が、内部統制上の手続きを守ったため、送金には至らなかった。

(その3に続く)

----------------------------------------
初出:FRAUDマガジン44号(2015年6月1日発行)

このエントリーをはてなブックマークに追加

この記事の執筆者

Anthony Valenti, CFE, CAMS,
調査、情報サービスとリスクサービスを専門とするStroz Friedberg, LLCの役員である。

Stephen Korinko, CFE, CAMS, CPP
Stroz Friedberg, LLCの副社長(Vice President)である。
※執筆者の所属等は本記事の初出時のものである。

この記事のカテゴリ

コンプライアンス その他

この記事のシリーズ

企業の不正リスク対策

記事の一覧を見る

関連リンク

不正リスク(バックナンバー一覧)

申し訳ございません、おかけになった「不正」へは現在おつなぎすることができません。パート2(その1 全4回)

偽装ドメイン:架空ドメインによる送金スキーム (その1 全4回)

税務・会計に関する情報を毎週無料でお届けしています!

メルマガ登録はこちら

シリーズで読む

シリーズ一覧はこちら


コラム
/column/2017/img/thumbnail/img_24_s.jpg
 このスキームでは、架空のドメインを使うのが典型的な手口だ。そのドメインは、通常、海外の業者から入手出来き、その会社の本当のドメインそっくりに装い、メール受信者を不審に思わせないようにしていた。また、なりすましの対象となった幹部本人にも気づかれないようにした。 犯行者たちは、まず、米国以外の銀行口座に送金するように指示する。その後、送金されたお金は、いくつかの口座を転々とし、最終的にはタックス・ヘイブンに所在する銀行口座に行き着く。このことにより、そのお金の回収や起訴は、不可能でなくとも、極めて困難となる。最近では、送金された金銭は、最終的に米国内の銀行口座に送られた事例もあった。 送信された金を首尾よく手にいれた犯行者たちは、着金後、数時間から数日間で、受取口座を空にする。その結果、被害に遭った会社は、送金指示を直ちに取消すか、あるいは口座を凍結するしか、送金を回収する方法はない。もし送金が完了してしまえば、金銭的被害も確定してしまうのだ。その一方で、送金に関わった銀行には、特段被害は生じない。 このことにより、送金を防止することが、唯一の防衛策と言える。それには、業者との取引手続きを確実に取り決めておき、送金手続きを管理し、またスタッフ間のコミュニケーションや研修を実施することが、この不正を防ぐために非常に重要である。
2018.07.05 18:24:29