シェアする

ビジネスE-mail詐欺から考える業務改革

ビジネス E-mail詐欺(BEC), E-mailアカウント侵害(EAC)詐欺の横行

企業版振り込め詐欺ともいえる、ビジネスE-mail詐欺(Business E-mail Compromise Scam/BEC Scam)が大きな被害をもたらしている。2015年くらいから米国で目立ってきたのだが、2017年には、日本航空が3億円余りの被害にあったと報じられ、日本でも注意喚起が行われるようになった。

対策として、メール以外の手段で確認をする、つまり電話やFAXなどの手段で確認をするようにという、大手銀行からの注意喚起も行われている。たしかに、原始的な手法は確かに効果的ではあるのだが、それは本質的な問題なのであろうか?この問題に関係する様々な技術を含めてセキュリティから業務の問題を考えるべきである。

コンピュータ、ネットワークのセキュリティでは、マルウエア、ランサムウエアの感染、侵入や、フィッシングによる個人情報、ログイン情報の搾取というものが多くみられるものであった。これらが金銭的な利得を目的としたものが主となり、より多くの利益を求めるようになると、より効率よく多額の金銭を搾取できる手段にそのターゲットが向けられるのは自然な流れである。

ソフトウエアの脆弱性を利用した攻撃は、脆弱性への対応が発達し、ユーザの意識が向上してきたために、成功することが少なくなってくることは容易に予想できる。そうすると犯罪者の次なるターゲットは、なかなか防ぐことが難しいヒューマンエラーを突いたものになってくるだろう。

心理的な背景も存在していると考えられる。インターネットの普及、利用は非常に急速に進んだものであるし、コンピュータやスマートフォンなどの最先端の機器を利用する。そのため、システムに明るくないユーザは、そういう最先端のシステムを経由してきたものだから、ということで無条件に信用してしまうということもある。これは、標的型メールやコンピュータウィルスなどに対する対策や訓練を行ってきた大企業でも発生する。メールアカウントを乗っ取られているケースでは、ウィルス対策も無関係だし、メールそのものになんの問題もないので、やはり信じてしまうということが起こる。システムを正常に通過したことで、裏付けのある正しいものであるという錯覚をもたらしてしまうのだ。

このビジネスE-mail詐欺の手口[1]は、

  1. 偽の請求書を送る
  2. 社長や役員になりすます
  3. アカウントを乗っ取る
  4. 弁護士や会計士になりすます
  5. さらなる攻撃を行うための情報の窃取を行う

と言われているが、あくまでこれは最終段階でのアクションであって、ここに至るまでに巧妙なソシアルエンジニアリングが存在している。

ここで気を付けて欲しいのは、最終段階の行為は全くサイバーセキュリティ問題と関係ない可能性が高いということである。つまり、メールは危ないので紙を郵便で送れば安全だろうと考えても、犯罪者にとって紙を偽造して、印鑑を偽造して郵送するなどというのは、メールで送るより簡単なことで、タイミングを見計らって請求書の差し替えをお願いしますと電話をすれば、まさに振り込め詐欺そのものであろう。

重大なことは、それ以前の段階で取引にかかわる情報が抜き取られているということである。つまり、問題は最終段階にあるのではない。日ごろのメールが全部見られているとか、パソコンの操作が監視されているとか、会社のファイルが抜き取られているということだ。

この問題は、自社のセキュリティだけに気を付けても、取引先から情報が漏洩すればリスクがあるということが問題である。また、情報を漏洩が起こると取引先に多大な迷惑をかけるという虞がある。

さまざまなサイトで情報漏洩が繰り返し起こり、個人情報が流出している。この問題も決して無関係ではない。膨大な電子メールアドレスと、利用者の名前のリストはブラックマーケットで売買されていると思われる。これは多くの場合、フィッシングメール、標的型メールに利用されている。大学や、企業の情報はある程度公開されているため、名前とメールアドレスを突き合わせて標的を選び出す。

こうしたリストはさらなるアカウントの侵害や、情報収集に利用される。依然として安易なパスワードの利用を行っている人は多いし、パスワードの使いまわしも行われている。常にアカウント侵害のリスクと隣り合わせである。

Scamが大きな利益を上げられるということになると、そのための情報収集活動も非常に活発になると考えられる。

電子メールの生い立ちとリスク

電子メールはとても便利である。しかし、迷惑メールに見られるように弱みもある。電子メールのアドレスは、user@domain.dom という形式をしている。これは @の右側は独立した組織であり、@の左側はその組織のメンバーであるということからできている。つまり、このアドレスを使っている個人は、@の右側の組織によって保証されているということだ。しかし、組織をまたいで送られる電子メールでは、相手の組織を暗黙として信用するという性善説的な運用で作られてきたために、その『組織』を偽装されるということに非常に弱い。

もっとも、送信者ドメイン認証など相手ドメインの真贋を特定する手段は一定の効果は上げている。そのため、なりすましだけでなく、アカウントを侵害することが目標にされるようになった。BEC/EAC (E-mail Account Compromise) scam と呼ばれるようになっている。

メールが盗み見られているというリスクはどんなことになっているのだろうか?日本では、ファイルをパスワード付ZIPで添付して送付するという手法がよく用いられている。確かにファイルは暗号化されるので、一見安全なように見える。ただし、それはパスワードが分からなければという条件の下でである。この手法が日本で多く用いられているのは、それを自動化するソフトウエアが販売されて、それを大企業や、役所が採用してしまったということにも原因がある。この自動化がこの手法を形骸化させた元凶であり、そのパスワードを自動的に別のメールで送るというものである。メールで送ったのでは、情報が同じように漏洩しているので、全く役にたたない。メールがすべて盗み見られているのでは、筒抜けである。

パスワードだけに頼るのでは限界があるので、重要な情報を扱うサイトでは多要素認証(Multi-Factor Authentication/MFA)を利用することが一般的になってきている。多要素認証は、スマートフォンを利用することが多くなっているので、スマートフォンの利用が必須となる。SMSによる認証はコストが発生することや、システムに脆弱性が存在することが指摘されているので、今後はなくなっていくだろう。多要素認証の利用は面倒であることは確かではあるのだが、現在の状況を考えると最も効果的であるので、利用すべきである。

BEC/EAC scam に至るまでの前段の情報収集は、ランサムウエアのような単発の攻撃に比べると、巧妙に静かに行われることを認識すべきである。日本航空の場合では、取引先担当者を偽装し、請求書も偽造されたといわれている。つまり、本来の請求書が漏洩していたわけである。メールアカウントが乗っ取られるか、なんらかのマルウエアを仕込まれて情報が外部に流出していたものと考えられる。

メールアカウントに関しても、MFAを利用すべきであろう。メールは古くから利用され、非常に一般的であるために、その利用法を変えることには抵抗が強い。そのため、古いメールクライアントの利用を望むことも多いようだ。しかし、残念ながら古いメールクライアントは、MFAに対応していないことが多い。MFAに対応していないと、長いランダムな文字列を用いた、アプリケーションパスワードという代替手段をことができるようになっているが、アプリケーションパスワードは、確かにランダム文字列で、推測はできないようになっている。しかし、固定的なパスワードであることには変わりなく、デバイスの盗難、侵入などによってそのパスワードが漏洩しないとは限らない。そのパスワードの利用状況について注意深く管理するということはおそらくほとんどなく、密かにメールを覗き見られるリスクは皆無ではない。スマートフォン用のクライアントなど新しいものではMFAに対応しているし、Webアクセスでは当然のことながら、MFAを使うことができる。

中小企業や個人事業者では、GmailやHotmail (Outlook.com) などの個人向けメールを使うケースも少なくない。しかし、この場合には避けがたい大きなリスクが存在している。多くの電子メールを扱うソフトウエアでは、送信者のメールアドレスを表示することはなく、表示名 (Display Name) だけを表示する。

吉村 伸<shin.yosshxxxx@gmail.com> の「吉村 伸」だけ表示して、shin.yosshxxxx@gmail.com は表示しない。スマートフォンなど画面のスペースに制約があるものでは顕著である。Gmail のアカウントは誰でも、無料で取得できる。その上、表示名は自由に設定できるものであるから、容易になりすましをすることができる。標的型メールで頻繁に行われるものであるが、送信者ドメイン認証の設定などの制約のある独自ドメインに比べると、なりすましのコストが小さい。個人にとっては、メールを利用するのに他の手段は少ないので、より注意深い利用が必要である。

業務におけるメールへの依存を減らす

メールでは暗号化して送っても、コピーをメールで送ってしまっては、送った先を追いかけることができなくなる。共通鍵の暗号化はコンピュータの能力向上によって、比較的容易に解読できるというのが現実である。情報管理のためには極力コピーを作らないことは鉄則の一つであろう。これは組織内での管理でも言えることである。その上で、履歴を管理する。そうしたことができるシステムを利用するということだ。

昔のメインフレーム型のシステムでは履歴が管理されているのは普通だったのだが、パーソナルコンピュータベースのシステムでは、履歴を管理することは容量に限りがあることから行われてこなかった。個人向けのシステムでは履歴を管理するというものはほとんどない。

しかし、企業向けシステムでは履歴を管理するものは提供されているし、最近のクラウドサービスではそれが安価な形で提供されるようになった。これにより、いつ誰が情報にアクセスしたかを知り、管理することができるようになる。

組織内でもメールでファイルを送って業務を行っていることが依然として多い。単純な共有ディスクではないファイル共有を行うことは確かに煩わしい。しかし、ソフトウエア開発の現場では、そうしたシステムを利用することはごく一般的なことであり、そうしたシステムを使わなければ複数のメンバーで開発を行い、品質を保つことは不可能である。なぜ、事務方ではそういうシステムを使わないのだろうか?

現在、MicrosoftのOffice365の企業向けサービスではそうしたシステム(Sharepointなど)が標準として提供されている。デスクトップのWord, Excel, Powerpoint に比べると知名度が低いのだが、本来そちらのほうが業務においては主役だと思われる。

履歴管理ができて、複数人でのファイル共有ができれば、誰がいつその情報にアクセスしたか、そのファイルを変更したかがわかる。コピーをバラバラにとってしまってはどれがどれだかわからなくなるばかりである。ファイルのコピーを極力作らないという習慣づけが必要である。

さて、組織外へファイルを送る必要がある場合には、こうしたシステムではどのように行うことができるかというと、Office 365の場合には標準的には2通りの手段が提供される。相手が Office 365のユーザであるか、そうでないかによるのだが、クラウド上の URL を送り、アクセスする場合に、Office 365のユーザであればその認証を要求することができる。そうでない場合には、一時的なURLを作成してアクセスを行うことができるようにすることもできる。後者の場合には、万が一その URLが分かってしまえば、だれでもアクセスできるということになってしまうため、一般的には期間や回数に制限を設けてアクセスを防ぐようにする。

より重要な情報であれば、認証を要求するようにすればよい。組織をまたがって認証を行うことは難しい。このケースでは両方がOffice365のユーザでなければならないという制約はある。双方が同じサービスを利用しているならば、この方法が利用できる。

さきほどの Sharepoint などのサービスでは、Office365ユーザであれば、組織をまたがってアクセスを可能にして、グループを構成することができる。プロジェクト等で利用することも可能である。

Office 365ユーザでなくとも、Microsoft アカウントでの共有も可能である。しかし、Microsoft アカウントは誰でも無料で作成できることから、利用はより慎重に行う必要はある。

仮にメールが盗み見られていたとしても、重要な情報はメールとしては送られることなく、ファイルにアクセスしなければならず、適切な認証を経て、その記録が残ることになれば安全性は飛躍的に向上する。

さらに、セキュリティを高めたい場合には、IRM(Information Rights Management)という機能がある。これはファイルは常時暗号化しておき、アクセスする都度認証して、復号するというものである。IRMまたは、RMS (Rights Management System) は古くから存在しているが、認証サーバの運用が必要であり、システムが複雑であるためあまり普及しているものではないが、常時の暗号化は仮にファイル自体が漏洩しても中をみることは認証できるユーザでないとできないため安全性は高い。さらに、認証できるユーザはあとから変更できるので、後追いでアクセス権を抹消できるというメリットがある。

電子署名の活用

本人確認の強力な方法として、電子証明書を活用するという手段がある。証明書は、公開鍵暗号技術を利用した手法であるが、認証局(CA, Certification Authority)によって署名されたものである。証明書によって何ができるかというと、公開鍵暗号系(PKI, Public Key Infrastructure)の技術の基本である、秘密鍵で暗号化し、公開鍵で復号するという手法とともに、その鍵の持ち主が確かに本人であるかどうかを認証局が保証するという仕組みを提供する。証明書を発行(認証局が署名する)際に、厳格な本人確認を行い、さらに利用する際には、復号に使用する公開鍵が現在有効なものであるかどうかを、証明書上の有効期限だけでなく、認証局に問い合わせて失効していないかを確認できる。万が一秘密鍵を紛失してしまったときには、認証局に失効手続きを行うことによって、その鍵を利用できなくすることができる。

実社会における公証人役場における役割に非常に近いものであるが、インターネットの仕組みを活用してリアルタイムに利用できるようになっている。

電子署名は、e-文書法[2]および関連法令に適用が定義されている。電子証明書を用い、タイムスタンプ署名を併用した方式が、PDF, XMLに対して定義されたものが、PAdES[3], XAdESである。電子署名にはさまざまな方式があり、日本の国内法で認められる電子署名には簡易的な方式もあるが、国際的な状況を考えるとPAdES, XAdESに規定される長期にわたる検証可能な署名を利用することが望ましい。

電子署名が法的に有効である分野は、電子契約と電子帳簿保存法に規定される国税関係書類の電子的な保存であるが、電子証明書を用いた電子署名では、電子証明書による署名者の確認、証明書の有効性確認(失効確認)による在籍確認、タイムスタンプ署名による実在確認が行うことができる。それぞれに独立した認証が運用されるのが一般的であり、署名の有効性を確認することにより、その文書の真正性、実在性を保証することができる。紙への押印にくらべて電子的に取り扱い、文書に対する真正性を確実に担保できることから、積極的に利用すべきである。クラウド技術によるファイル共有を併用することにより、電子契約による契約主体の署名行為も容易に実現することができる。

また、税法上も電子契約や、電子的な文書の交付には印紙を要しないことから有利である。

PAdESレベルの電子署名があまり普及していない背景には、民間の経済行為はあくまで当事者の合意によって成り立っているという原則がある。電子署名といっても手書きのサインを電子的に書面に記しただけのものや、改ざん防止の技術は適用しても、電子証明書や、タイムスタンプによる実在、存在確認を行わないものも多い。

しかし、企業における長期的な文書の保全、信頼性の高い文書の手交には、PAdESに定義される長期署名を利用できることが望ましい。これは特別なものではなく、電子証明書を取得すれば、Adobe Acrobatで行うことができる。

電子署名と、電子メールをインテグレーションしたものが、S/MIMEという電子メールである。S/MIMEは電子署名による本人確認、改ざん防止、暗号化を行うことができる。

本文を暗号化しない電子署名は、メールやドキュメントのハッシュ値を産出し、それを秘密鍵で暗号化して、添付する。証明書を確認すると同時に、ハッシュ値を復号化し、ドキュメントのそれと比較して変更がないことを確認する。

本文を暗号化する場合には、本文全体を公開鍵暗号で暗号化すると計算量が膨大になる虞があるために、共有鍵暗号で暗号化し、その共有鍵を相手の公開鍵で暗号化して添付して送る。

S/MIMEによる電子署名は、一部の金融機関から発信されるメールなどに利用されるようになっている。しかし、S/MIMEを利用できるメールクライアントはやはり少ないのと、暗号化する場合には、相手は1人だけに限られるということがある。そのため限定的であるのだが、非常に強力な道具である。うまくつかえば飛躍的にセキュリティを高められることは間違いない。ただ、これを活用できるツールの整備が十分とはいえないのが現状である。

電子署名は、文書の保全と、署名者の認証の点では確立された強固なシステムである。詐欺、偽造の被害に会わないというだけでなく、相手に対して信頼を与えるために、積極的に活用すべき技術である。

おわりに

電子メールは、インターネットにおけるもっとも基本的な接続性であるが、それゆえに、その弱点も攻撃者にとって熟知されているものである。それに比べると新しいツールのほうが弱点を克服しているといえる。クラウドサービスの利用やSNSのようなメッセージングサービスの活用を常に検討すべきであろう。また、MFAの利用については煩わしいと言える状況ではないことも認識すべきである。記憶にたよるパスワードだけではどんなものであっても破られないとは限らない。

ドキュメント管理については古くから管理手法が提案されているのだが、紙に印刷したドキュメントの保管には場所が必要であるということから、その廃棄などを想定した管理概念が主であった。しかしながら、デジタル化によってその制約は全くなくなったと言ってもよく、廃棄を想定することや、中間の履歴を取得しないことは今や害のほうが多いと言わざると得ない。

履歴管理と、電子署名による保全は必要な場面は異なるが、文書管理の両輪であると考えられる。紙の縦覧性を否定するものではないが、残念ながら紙に印刷できる情報は、実は限られている。デジタル技術は、字面には表れてないデータを活用しなければ真の価値はない。紙との最大の違いはこの点であり、これを強く意識しなければ、真にデジタル技術を活用することはできない。そのためには終始デジタルデータとして扱うことが求められる。履歴情報や、電子署名技術はその最たるものであるといえる。

デジタル時代の情報管理は、紙との類似性を求めてはいけない。

その考え方はまだ十分理解されているとはいえない。インターネットの速度や情報処理能力の向上は、あまりに急速にもたらされたものであって、十分な理解を得られているとは言えないと思われる。

インターネット上の技術を逆手にとって悪事をたくらむ輩のほうが残念ながらこうした問題を熟知していると言わざるを得ない。

一方的にセキュリティ意識が低い相手先を切り捨てるのではなく、適切なコミュニケーションと意識付けと技術に対する理解を互いに高めることが必要となってきていることを認識するきっかけにするべきであろう。いまやクラウド事業者(GoogleやMicrosoftなど)が高い技術力を有し、サービスを提供するようになった。脆弱性等に対する対応を個別に行うよりも有利であろう。積極的なサービスの選択が、高いセキュリティを備えたIT環境の利用につながるだろう。