セキュリティソフト大手、トレンドマイクロは今後のサイバー攻撃の動向予測の中で「ビジネスメール詐欺」の増加と新たな「ビジネスプロセス詐欺」の出現に注目するよう警告している。いずれも「なりすまし」を手段にした「犯罪」である。

「ビジネスプロセス詐欺」は「ビジネスメール詐欺」のさらに進化形である。すでに蔓延している「ビジネスメール詐欺」は、何らかの方法で取得した社内関係や取引先関係の情報やメールアドレス情報を基に、経営者や取引先になりすます。その名をかたって企業や団体、各種機関の財務会計担当者に「偽の送金指示」などを行ってまんまと金銭をせしめる犯罪である。詐欺を仕掛けてくる側は、サーバーなど攻撃用のインフラを用意する必要がない。組織内システムに入り込んでメールデータやメール交換情報を窃取し、これを基に「なりすまし」の不正メールを送り付けることで、高額な金銭をだまし取ることができる。

企業内の組織図や経営者、主要部署の担当者のメールアドレスなどが流出すると、こうした2次被害の危険を招くことになる。組織図や社員のメールアドレスの流出、それ自体は一見、たいした被害ではないようだが、実は多くの犯罪に「なりすまし」のための基礎データを提供することになる。重要な情報流出なのである。特に一般社員だけではなくて、特権IDやシステム管理者権限などの重要情報が乗っ取られると、事態はさらに深刻になる。

ビジネスメール被害は、米国ＦＢＩの報告を基にトレンドマイクロ社が分析したところによると、1件当たりの平均被害額が約14万米ドル、日本円にして1600万円以上に上るという。

さて、新たの「ビジネスプロセス詐欺」だが、その事例が明らかになったのは、16年に起きたバングラデシュ中央銀行のハッキング被害である。同行の被害額は8100万米ドル、日本円にしてざっと100億円近くになる。社内の組織関係や取引関係の情報を基にした「ビジネスメール詐欺」の枠を越えて、同行内部の送金プロセスを綿密に調査して、このプロセスに入り込んで不正な送金を実行させる。業務プロセスにまで入り込んでくるので、トレンドマイクロでは「ビジネスプロセス詐欺」と名付けたという。名付け親はトレンドマイクロ社である。

こうしたなりすまし犯罪の被害を回避するには、基本的に、保管している情報ファイルを盗まれないことである。保管ファイルの中でも社員や取引先のメールアドレスや職位、担当業務、取引履歴などは重要情報として漏洩を回避しなければならない。攻撃する側が「盗む技術」を向上させている。

守る側も新しい発想、技術を考案し、提供してゆかなければなるまい。秘密分散技術もその一つといえよう。