多発するビジネスメール詐欺と、AI時代の新たな脅威「ディープフェイク」
独立行政法人情報処理推進機構( IPA )は毎年、組織と個人に対する「 情報セキュリティ10大脅威 」を公開しています。
2024年1月に公開された「 情報セキュリティ10大脅威(組織編)2024 」では、ビジネスメール詐欺による金銭被害が 8 位に入っています。 ビジネスメール詐欺による金銭被害は、2018年に初めてランクインしてから、7 年連続 7 回目の選出となっています。
そこで今回の記事では、今一度ビジネスメール詐欺とはどのようなものか解説するとともに、最近のトレンドについてご紹介します。
出典:IPA|情報セキュリティ10大脅威 2023(2024年1月24日)https://www.ipa.go.jp/security/10threats/10threats2024.html
1.ビジネスメール詐欺の仕組とは
ビジネスメール詐欺とは、企業に偽のビジネスメールを送りつけ、金銭をだまし取ることを目的とした詐欺行為のことです。
代表的な手口として、
・攻撃者が取引先担当者になりすまして、経理部の担当者に請求書を送り入金させる
・攻撃者が自社の経営者になりすまして、経理部の担当者にメールを送って入金させる
といったものがあります。
従来のスパムメールでは、不自然な日本語、差出人が怪しいなど、見分けるポイントがありました。
一方ビジネスメール詐欺では、実際の業務と近い内容のメールである、差出人が取引先担当者であるなど、手口が巧妙化し、見破ることが難しくなっています。
被害額が大きいという特徴もあります。
FBIが公開した報告書「(PDF) Internet Crime Report 2022 – FBI」によると、ビジネスメール詐欺の被害額は約27億ドルだったのに対し、ランサムウェアの被害額は約3,400万ドルとのこと。
実にビジネスメール詐欺の被害額はランサムウェアの約80倍。
「ビジネスメール詐欺の被害額が大きい=攻撃者にとってはリターンが大きい」ため、攻撃者は事前調査を入念に行う傾向があります。
攻撃者は、実際に存在するメールアカウントを盗んで、なりすますケースもあります。
メールアカウントを搾取する手段は、マルウェアを利用して直近のメールのやり取りを盗むといったものや、担当者を装って電話で聞き出すなどソーシャルエンジニアリングによるものもあります。
2.ビジネスメール詐欺の事例
下記IPAのレポートでは取引先A社会長を装って、海外関連会社であるB社に送った攻撃について紹介されています。
レポートによると、攻撃者が送ったメールは、機密性の高いプロジェクトへの協力を依頼したいという内容であり、文中では実在する会計・法律事務所の従業員の名前も挙げられていたそうです。
出典:サイバー情報共有イニシアティブ(J-CSIP) 運用状況 [2023年4月~6月]
IPA(独立行政法人情報処理推進機構) セキュリティセンター
https://www.ipa.go.jp/security/j-csip/ug65p9000000nkvm-att/fy23-q1-report.pdf
そしてその攻撃メールに続いて、A社専務になりすました攻撃者は「A 社会長からメールで連絡した件のフォローアップをしている」との電話連絡をB社社長あてに入れています。
この電話の声は、A社専務の声を模倣していたそうで、ディープフェイク(※後ほど3章にて解説します)を用いた可能性が考えられる、とあります。
新しい技術が悪用されることで、ビジネスメール詐欺がさらに横行する時代がやってくるかもしれません。
ビジネスメール詐欺に関する事例集は、IPAのサイトに掲載されています。
IPA
ビジネスメール詐欺 事例集
https://www.ipa.go.jp/security/bec/bec_cases.html
3.生成AI時代におけるあらたな脅威、ディープフェイク
ディープフェイクとは機械学習の「ディープラーニング」と偽物の「フェイク」とを組み合わせた造語で、AIによって作り出された偽のコンテンツや、それを作るための技術を指します。
近年著しい発展を遂げた分野として注目されていますが、これが、サイバー犯罪においても悪用され問題となっています。
偽のコンテンツを作る技術が、なりすまし行為に用いられているためです。
SNSなどで有名人になりすました広告などを目にしたことはありませんか?
顔は確かに有名人ではあるものの、宣伝内容がなんとなく怪しい、といった印象を受けた場合、もしかするとそれは詐欺広告かもしれません。
ビジネスの分野でも大きな事件が起きています。
2024年2月香港では、偽のビデオ会議にだまされ、2500万米ドル(約38億円)もの大金を送金させるという事件が起きています。
これは、ディープフェイクを悪用して同社の最高財務責任者(CFO)になりすます、という手口によるものでした。
ディープフェイクを悪用することで、ソーシャルエンジニアリングによる犯罪が容易になる可能性があります。
ビジネスメール詐欺も、より巧妙化する懸念があります。
4.まとめ
今回の記事では、ここ数年依然としてビジネスメール詐欺が多いことを紹介しました。
AI技術を悪用することで、ビジネスメール詐欺の手口がさらに巧妙化するかもしれません。
企業においては、悪意のあるメールにいち早く気づき、対処する必要があります。従業員一人一人がメールを見極め、メールを開かない、あるいは、適切な部署に報告ができるように訓練することが必要です。その手段の一つが、メール訓練サービスの利用です。
神戸デジタル・ラボが提供するメール訓練システム、Selphish(セルフィッシュ)は初めてメール訓練を導入される企業様にも操作いただきやすいよう、直観的な操作が可能な管理画面になっています。
ビジネスメール詐欺への備えとして、Selphishのご導入をぜひご検討ください。
無料でお試しいただくことも可能です、お気軽にお問合せください。