最高経営責任者を装うビジネスメール詐欺「BEC」、米国・英国・カナダの医療機関が標的に

「Business Email Compromise（BEC、ビジネスメール詐欺）」の１つである「CEO詐欺」とは、企業の最高経営責任者（CEO）その他の幹部社員のメールアカウントに偽装し、社内の送金に携わる最高財務責任者（CFO）や会計担当者、監査役に不正な送金指示メールを送信する詐欺です。この CEO詐欺の攻撃キャンペーンが、過去 2週間以上にわたり、米国 17カ所・英国 10カ所・カナダ ８カ所の医療機関を標的にしていたことが確認されました。攻撃の対象となった医療機関には、総合病院や特殊医療を扱う大学病院、そして診療所も含まれていました。製薬会社もこの攻撃の対象外ではなく、英国を拠点とする １社とカナダの ２社が標的とされました。

CEO詐欺の送金指示メールが本物であると思い込んだ従業員は、平均して 1事例につき 14万米ドル（2016年11月25日現在、約1,584万円）もの資金をサイバー犯罪者が管理する銀行口座に送金したことが報告されています。

トレンドマイクロは、医療機関を狙ったこの攻撃キャンペーンで、２つの手口が主に利用されているのを確認しました。１つは送信元（From）を偽装し、CEOやその他幹部のメールアカウントに偽装していました。返信先（Reply To）には、攻撃者のメールアドレスが設定されていました。2つ目の手口はドメイン名を模倣したもので、標的の医療機関のドメイン名と非常に類似したドメイン名が利用されていました。これは、メールアドレスの一部を変えただけの類似したものが利用されています。また、攻撃者はこうしたなりすましメールにシンプルで無難な件名を利用します。メールの件名には大抵以下の文章が含まれます。

• Extremely Urgent（非常に緊急）
• Treat As Urgent（緊急扱い）
• Treat Very Urgent（大至急扱い）
• Due Payment（支払期限超過）
• Urgent Payment（緊急支払）

英国の複数の「National Health Service（NHS、国民保健サービス）」も同様の手口で標的にされたことが確認されています。メールには正規のドメイン名である “<病院名>-nhs.uk” のかわりに、模倣したドメイン名 ”<病院名>-nhs.co” が利用されていました。調査から、CEO詐欺の背後の攻撃者は、「オープンソースインテリジェンス（OSINT）」を利用し、公に入手できる組織図から標的の地位を容易に確認し、攻撃していたことが判明しています。

■CEO詐欺などのビジネスメール詐欺の被害に遭わないために
他のサイバー犯罪の手口と異なり、ビジネスメール詐欺からの防衛は特に困難です。医療機関に送信されたなりすましメールを見ると、攻撃者は、通常、送信元と返信先を偽造し、メール件名は不審にならないように短くシンプルなものを用いて、至急の対応を促すメールを装っています。また注目すべき点は、メール経由での攻撃によく利用される不正な添付ファイルや不正な URL が含まれていないことです。そのため、不審なファイルや URL を検知する従来のセキュリティソフトでは、検出することができません。

しかしながら、送金を担当することとなる従業員が注意することで、ビジネスメール詐欺の企業への侵入を効果的に防ぐことができます。送金の指示は、通常、標的となる従業員に緊急対応を要求します。そのため、送金指示の内容を二重に確認することが重要です。また従業員は、メールの「返信」ボタンを利用するのではなく、「転送」のオプションを利用することによって社内の連絡先リストからメールアドレスを入力し、正規のアドレスかを確認することができます。

ビジネスメール詐欺についての情報と、企業が導入できるセキュリティ対策については、以下を参照してください。

• 多額の損失をもたらすビジネスメール詐欺「BEC」
• Enterprise Network Protection against Cyberattacks: Business Email Compromise（英語情報）

■トレンドマイクロの対策
トレンドマイクロは、医療機関はもちろん中小・中堅・大企業すべてを、ビジネスメール詐欺から保護します。「InterScan Messaging Security Virtual Appliance™」 と「Trend Micro Hosted Email Security™」に含まれる技術「ソーシャルエンジニアリング攻撃からの保護」は、機械学習を利用してメールメッセージ内のソーシャルエンジニアリング攻撃に関連する疑わしい動作を検出し、また、ビジネスメール詐欺関連マルウェアを検出します。これらエンドポイントとメールセキュリティ対策は、クラウド型セキュリティインフラ「Trend Micro Smart Protection Network」によって提供されています。

【更新情報】

2016/11/28	14：40	本文の一部を修正しました。
2016/11/28	18：30	タイトルを修正しました。

参考記事：

• 「CEO Fraud Email Scams Target Healthcare Institutions」
  by Ryan Flores(Threat Research Manager)

翻訳：室賀 美和（Core Technology Marketing, TrendLabs）