偽装ドメイン:架空ドメインによる送金スキーム (その4 全4回)
Domains in Disguise: Fake domain wire-transfer scheme
被害者には何ができるか?(WHAT CAN VICTIMS DO?)
不正が直ちに発見されずに、送金指示を取り消すことができず送金が完了してしまえば、それを取り戻すのはほぼ不可能だ。さらに、銀行は適切な手順を踏むかぎり損害を受けないため、不正事件の連絡を受けない限り、口座の凍結や返金には応じない。資金を回収するための唯一の頼みは、早急な対応である。被害にあった会社は、直ちに、銀行の不正調査部と連絡を取り、送金の返還か、残高がある間に口座の凍結を依頼する。金融機関の取引プロトコールによれば、不正の可能性がある資金が預金されれば、その口座を凍結することができる。
被害企業の保険会社は、地元か連邦の警察、FBI、シークレットサービスのいずれかまたはそのすべてに被害届を提出するよう、会社に要請するかもしれない。その要請がなくとも、そうすべきだ。これまで、いくつもの初期対応で調査を行ってきた経験を踏まえ、私たちは被害にあった企業に、過去の送金履歴を調べ、他の不正な送金がないかチェックすることを勧めている。
自分自身と顧客を守る (PROTECT YOURSEFL AND YOUR CLIENT)
不正実行者たちは、決まって中規模から大規模の企業を標的に選ぶ。その理由は、これらの会社では、日常的に、何百、何千ドルという金額を経理担当者が面識のない第三者に送金しているからである。しかし、小規模な企業も安全でいられるとは限らない。小規模な企業では、一度大きな損失が発生すれば、事業の継続に重要な影響を及ぼす可能性がある。
第一の防止策は、社内と銀行とのやり取りを含め、送金の手続きを見直すことだ。銀行には、折り返しの確認電話を手続きの中に含め、あらかじめ定めた役職者に連絡を取るのが困難な場合であってもその手順に従うよう要請するべきである。
社内の対策では、支払いと電信送金手続きを見直し、新規取引先への支払承認は、一段高いレベルの承認者を設定することを検討すべきだ。例えば、個々の取引業者を「管轄する」役職者を1名設定し、経理スタッフは送金実施前に適切な役職者に連絡を取るように決める。
また、フィッシング攻撃とソーシャル・エンジニアリングへの対応も必要だ。最適な防御策は、従業員にこれらの手口を理解させるべく、社員教育・研修を実施することである。
GoogleドキュメントやGmailの使用を許可している会社は、Googleの2段階認証(2要素認証)を使い、外部の者が必要な認証トークンを使わずにログインすることを防ぐべきである。Googleの2段階認証のログイン情報を利用した攻撃が成功したという報告はまだないとはいえ、防止策の進歩につれて不正実行者は手口を変えてくる。
Googleアプリへの不正侵入を防ぐ、更に高い防波堤となるのは、Ping IndustryやCentrifyのような、第三者SSO(single sign-on、統合認証基盤)やSAML (security assertion markup language、IDやパスワードなどの認証情報を安全に交換するためのXML仕様)のプロバイダを利用することだ。これらのサービスでは、Googleアプリへのアクセスに、ログインする場所・機器・トークンを限定することにより、より厳しい制限をかけることができる。また、これらのサービスにより、企業はログインページを、カスタマイズすることもできる。これにより、攻撃する側がフィッシングサイトのページを想定して模倣することが困難になる。
誰も安全とは言えない。不正実行者たちは、あらゆるタイプの企業を標的にしてきた。彼らが成功すればするほど、このスキームは広がるであろう。取引手続き、資金移動のコントロール、そしてコンプライアンス・ポリシーを見直す必要がある。一番重要なのは、定期的に、社員に研修を実施し、彼らが危険信号を認識し、不審な指示に疑問を抱くように奨励することである。ある従業員が何か不審に感じれば、その直感は通常当たっている。
----------------------------------------
初出:FRAUDマガジン44号(2015年6月1日発行)
