どうしたら標的型メールやビジネスメール詐欺(スピアフィッシング)を防げるのか?

By キリバ・ジャパン 副社長 執行役員 桑野 祐一郎 2016年7月26日

*本ブログは2015年2月の英語記事を日本語訳したものになります

 

(訳注。このブログは、日本では「標的型メール」「ビジネスメール詐欺」と呼ばれる攻撃について記述しています。日本でも大手企業や団体が対象となり、大きな金銭の詐取や情報漏えいが起きています。たとえば、2015年には都内外資系金融機関の経理担当者が本社の幹部を装ったメールに従い、数億円を海外口座に振り込みました。普段と変わらない文面や、社内規定通りの送金指示書だったそうです。また2016年6月には、大手旅行会社から679万人の顧客情報が漏えいしました。こちらは、取引先の大手航空会社を装ったメールで、件名や添付ファイル名が日常業務で使われるものとなっていたそうです。いずれも明らかに事前に業務の内容を調査したうえで送信されたもので、メールを受け取った担当者は全く疑いを持たなかった点がポイントです。日本でもこのように非常に手の込んだメールにより大きな被害を受けるケースが増えています。)

 

ハッキングの手口が非常に高度化し洗練されてきて、企業の財務部門にとってもハッキングは個人レベルの話として放置しておくことはできなくなっています。

 

誰でも一度は過去にフィッシングのメールを受け取ったことがあると思います。フィッシングのメールとは、たとえば銀行を詐称し、「あなたの登録情報を確認してください」と言って、あるリンクをクリックさせるものです。このメールが銀行からのものだと信じ切ったユーザーがそのリンクをクリックすると、悪意のあるソフトウェアが組み込まれたサイトが開き、その瞬間に、そのユーザーが行った操作を全て記録するソフトウェアが、そのユーザーのパソコンにインストールされてしまいます。そしてそれ以後、そのユーザーがアクセスしたウェブサイトのURLと、そのIDとパスワードが盗み取られ、そのユーザーがパソコンで行う操作がすべて筒抜けになってしまうものです。

 

今では多くの個人がこのような電子メールには引っかからなくなりました。そこでスピアフィッシングという、さらに巧妙な方法がとられるようになってきました。それは狙われた個人その人に合わせ、ソーシャルエンジニアリングを駆使して、その電子メールが信頼できる差出人(多くは上司)からのメールであるかのように装ったものです。そのためメールを受け取った担当者は、思わずクリックしてしまいます。

 

最近あった例では、過去数年に亘って30か国の100以上の銀行から合計1兆ドル以上(推計)盗み取っていたという例があります*。犯人は銀行の担当者に悪意のあるソフトウェアを組み込んだ電子メールを送り付け、銀行システムへのアクセス手段を得ると、SWIFT経由で資金を移動したり、共犯者へ自動で資金が流れるようにATMを設定したり、さまざまな方法で資金を盗みました。財務担当者が狙われると、一瞬で資金を奪われます。非常に怖いことです。

 

では、標的にならないようにするにはどうしたらよいのでしょうか? 通常最初にとられる対策としては、ITセキュリティのソリューションを導入して、セキュリティポリシーを作成・改定し、疑わしいメールをブロックして、ユーザーにはリンクをクリックしないよう教育や周知徹底を行うことでしょう。しかしながら、100%完璧なソリューションはありません。また、違法な電子取引によって資金が会社から流出しないような業務プロセスを構築する責任は財務部門にあるのです。そのプロセスにはあなたご自身が以前ルールを決めたプロセスも入っているかもしれません。

 

アプリケーションのセキュリティの改善

 

財務データや財務業務に関するデータを不正に取得して、不正行為を始めるにあたってもっとも普通の方法は、ログインやユーザー認証の脆弱な手続きを狙って財務のシステムに不正アクセスをすることです。システムが不正アクセスから十分に守られていることを担保するには、トレジャリーにも強固なセキュリティが必要です。しかしながら多くの人は簡単に破られるパスワードを使い続けています。ユーザー認証を何段階か複数設けることで、外部のハッカーとスピアフィッシングから財務データを守ることができます。財務のシステムを不正アクセスから守るためによい方法は以下のようなものです。

 

    •  強力なパスワードコントロール

 

    •   IPフィルタリング(事前に設定されたIPアドレスからのアクセスのみを許諾)

 

    •  二重認証(ハードウェアトークン、SMS、Yubikeyなど)

 

    • バーチャルキーボードの利用(画面の中のキーボードで、キーをクリックするのではなく、マウスでキーを操作して入力します)

 

支払の承認

これらのセキュリティ強化だけではもちろん十分ではありません。支払のワークフローを確立し、そのワークフローの外で支払をできなくすることです。多くの企業では支払の申請と承認は別々になっていて、申請者が承認できないようになっています。さらにそれを強化する方法としては、承認基準を標準化し、複数者の承認が必要なように変え、その承認を電子的に残すことです。この基準は当然、財務部門の職務分掌と、その承認金額上限とも連動していなければなりません。一元化された財務システムによって、このような支払の申請と承認のプロセスを確立するだけでなく、支払全体のワークフローがトレジャリーや財務部門のコントロールの下にあることで、不正を防ぐことに役立つのです。

実際に、企業が銀行ポータルを使って支払を行うときは、支払の電子的な「証跡」が不十分で、支払の申請や承認の履歴は別のシステム(多くはERP)にあります。銀行ポータルでは単に支払ファイルを送信するだけで、その行為と内容を支払承認者は通常見ることはありません。この結果、支払プロセスに大きなリスクを内在させることになります。支払の申請と承認の業務、そして取引をひとつのシステムの中に閉じてしまうことは、支払不正と効果的に戦う上で非常に重要なことです。

 

デジタル署名

 

デジタル署名は、銀行が受け取った送金指図のファイルを認証するうえで、非常に重要なものです。SWIFT 3SKeyなどのデジタル署名は、支払に使うことができ、銀行に対して全ての支払が正確で正当なものであることを示します。これは銀行に支払を検証させるだけでなく、銀行によって送金を拒否される確率を減らします。デジタル署名と、強力なパスワードコントロールと、財務システムの支払ワークフローによって、支払不正の可能性を大きく減らすことができます。

 

改善されたワークフロー

 

支払ワークフローは、すべての銀行口座における取引が追跡できて、財務システムに定義された支払のルールと権限によって承認されるように構成されていなければなりません。このワークフローは、銀行に対する指図も集中化することによって強固なものとなります。銀行口座の開設と閉鎖や変更は、権限のある担当者がデジタル署名と暗号化されたメッセージによってのみ可能です。

 

キリバが、貴社の不正に対するリスクをどのように最小化するかについては、こちらをご覧ください。

 

‘Spear Phishing’ Attacks Infiltrate Banks’ Networks – CFO Magazine

img
エンタープライズ
リクイディティ

流動性を活性化し、企業の成長と価値創造につなげます

詳細はこちら