警察庁が今年3月に発表したレポート「令和4年におけるサイバー空間をめぐる脅威の情勢等について」によると、2022年にネットバンキングの不正送金被害額が3年ぶりに増えて15億円を超えたことが分かりました。レポートでは、フィッシング報告件数が増加する中で、ネットバンキングにかかわる不正送金被害が急増するなど、サイバー空間をめぐる脅威が実世界にも影響していることが如実となりました。
一方でアメリカにおいても、FBI の Internet Crime Complaint Center (IC3) から発表された最新の「インターネット犯罪レポート」によると、昨年メール詐欺による企業の被害額は 27 億ドル以上にのぼりました。これは 2021 年より 3 億ドル増加しています。
つまり、日米ともに攻撃者にとってメール詐欺は効果的な戦略だったといえます。
2022年はロシアによるウクライナ侵攻の影響でランサムウェアや破壊型の攻撃がメディアを賑わせましたが、FBIのレポートによると、実はメール詐欺の被害額は、ランサムウェアによる被害額の 80 倍だったことが分かります。さらにビジネスメール詐欺(BEC) は、すべてのサイバー犯罪関連の被害額の 27% も占めており、各インシデントによる平均コストは、2021 年の 12 万ドルから 12 万 4000 ドル(約1612万円 *)に増加しています。
また、2022 年 FBI の IC3 に報告された苦情件数は847,376 件から800,944 件に減少しましたが、被害総額は、69 億ドルから 102 億ドル(約1兆3260億円 *)へと増加しており、前年比 48% の上昇となっています。
図 1: 過去 5 年において報告された苦情件数と被害額(出典: FBI IC3 2022 Internet Crime Report (インターネット犯罪レポート))
かつてないほど流行するメール詐欺と増え続ける被害額
FBIのレポートでは、 BEC は最も注目すべき脅威の一つとして紹介されました。2022 年に、IC3 は BEC 詐欺に関する苦情を 21,832 件受け付けました。BEC 苦情の前年比増加率は、2021 年の 3% から 2022 年の 9% と、3 倍になっています。この傾向から、BEC 攻撃がかつてないほど広まっていることが読み取れます。
日本では今年になってからChatGPTを用いた流暢な日本語を操るBECが出現しています。
BEC 詐欺に騙された被害件数も前年比 10% 近く上昇しています。 プルーフポイントの 2023 State of the Phish レポートでの調査では、回答者の 72% が、2022 年に組織が少なくとも 1 回以上 BEC 攻撃を経験したと回答しています。(15 か国の 7,500 人のエンドユーザーと 1,050 人の IT セキュリティ担当者を対象に調査)
フィッシングと比較して BEC の被害件数は少ないものの、BEC による被害額は莫大になる場合もあります。これは BEC 詐欺は高度に標的を絞った攻撃であるため、その件数は少なくても被害額はしばしば大きくなる場合があるからです。
図 2: BEC 詐欺は、昨年企業により報告されたすべてのサイバー犯罪関連の被害額の 27% を占める
(出典: FBI IC3 2022 Internet Crime Report (インターネット犯罪レポート))
より巧妙な詐欺テクニックの使用
よく使われる BEC 詐欺には、仮想通貨やネットバンキングへの不正送金、ギフトカード要求、給与振込先変更、源泉徴収票の要求、不動産詐欺などがあります。最近では、以下のような巧妙なケースが FBI により確認されています。
- 資金を仮想通貨プラットフォームに直接送金するよう被害者に依頼する。仮想通貨を使うことにより、金融機関に追跡されることなく資金を速やかに移動できます
- 銀行口座ではなく被害者の投資口座を標的にする
- 正規企業の電話番号になりすまし、詐欺に使う銀行情報を被害者から確認する
- コールセンターを使用し、テクニカル/カスタマーサポートのエージェントや政府機関の人になりすまして被害者をだます
プルーフポイントは毎月 300 万件を超える BEC メッセージをブロックしています。 その中でBEC インシデントによる主な被害は、サプライヤー請求詐欺によるものです。
プルーフポイントでは、先日 2000 近くの組織を分析しました。その結果、2023 年 2 月の中のたった7 日間で約 88% の組織がビジネス上つきあいのあるサプライヤーから送られたメールでの攻撃を経験していることが分かりました。つまり取引先がサイバー攻撃のきっかけとなり、他の企業に対して、サプライチェーンリスクを引き起こしているということです。
No.1脅威は今なおフィッシング
フィッシング攻撃に一人でもひっかかれば、その組織を侵害したり、口座に不正アクセスしたり、金銭を得たり、必要な機密情報を入手したりすることができます。コロナ禍によってクラウドへの移行が加速しました。マルウェア(コンピュータウイルス)などの高度な技術を使わなくても、単にクラウドアカウントを侵害するフィッシングのほうが、攻撃者にとって投資対効果(ROI)が高いのは言うまでもありません。
- 2022 年、FBI の IC3 に報告された苦情の 38% がフィッシングに関連するものでした。
- プルーフポイントの 2023 State of the Phish レポートにおいて調査された組織の 84% は、最低 1 回フィッシング攻撃の被害を被っていると回答しています。
図 3: IC3 への苦情件数に基づいた主な犯罪種類別比較(出典: FBI IC3 2022 Internet Crime Report (インターネット犯罪レポート))
日本においては、金融機関を装ったフィッシングサイトへ誘導する不正メールが多数観測され、2022年のフィッシング報告件数は96万8,832件と前年比で84%も増加しています。
日本政府も効果を認めた「なりすましメール詐欺対策:DMARC」とは?
こういった状況において、経済産業省は今年1月、クレジットカード会社に対して、DMARCとよばれる詐欺メール対策を導入することを要請しました。また今年度の政府統一基準の改定においても、DMARCが基本対策事項になることが発表されています。
DMARCとは、正規の人物や組織になりすまして送られる詐欺メールに有効な対策で、導入すると、その組織になりすました詐欺メールが消費者や取引先企業などに届くことを防ぐことができます。いわゆる攻めの防御です。DMARCは、米グーグルやプルーフポイントがビジネスユニットを買収したReturn Pathが参画し作り上げたインターネットの標準規格で、欧米ではサプライチェーンリスク対策の基本となっています。
以前は、変な日本語文法やフォントなどの詐欺メールはすぐに見抜くことができました。しかし、攻撃者がChatGPTなどの生成AIを用いることによって、巧妙な日本語のメールが届くようになっています。今まで日本を守ってくれていた日本語のバリアは、すでになくなっており、仕組みでメール詐欺を防ぐことが求められているのです。
プルーフポイントでは、なりすましメールの特効薬であるDMARCとBIMIについて基本から丁寧に解説するオンデマンドウェビナーを公開しています。是非ご視聴ください。https://go.proofpoint.com/BIMI-DMARC-Webinar-May18.html
[オンデマンドウェビナー] BIMI/DMARC徹底解説!
* 1ドル=130円で計算