「ビジネスプロセス詐欺(Business Process Compromise、BPC) 」とは、金銭的な利益を目的として、法人の業務プロセスの一部、もしくはプロセスを管理する機器等を秘密裏に改ざんするサイバー攻撃です。非常に巧妙な手口により、改ざんされた業務プロセスは、通常どおり遂行されているように見える一方、背後では攻撃者が意図する結果が生じます。このため、企業側で正常な挙動との差異を容易には判別できず、攻撃の検出が困難となります。
BPC の特徴は、サイバー犯罪者が攻撃を実行する際、標的とする法人のネットワークや内部的運用、システムなど、業務プロセスの詳細に精通していることです。これにより、アカウント管理、調達、製造、支払いおよび配達などの業務プロセスを侵害し、それらを乗っ取ることが可能になります。
BPC の事例として、2016 年 2 月のバングラディッシュ中央銀行の不正送金が挙げられます。最終的に 8,100 万米ドル(2017 年 10 月 3 日のレートで約 91 億 6 千万円)の損失をもたらしたこの攻撃では、サイバー犯罪者が金融メッセージ通信サービス「SWIFT」の仕組みを深く理解しており、SWIFT を利用するパートナー銀行の抜け穴や盲点にも精通していたことが示されました。彼らは、バングラディッシュ中央銀行のネットワークに侵入することにより、送金状況を追跡し、不正な取引処理の実行に必要な同行の認証情報を入手していました。
BPC の標的は金融取引だけではありません。2013 年には、港湾当局を通過した数トンにおよぶ「コカイン」および「ヘロイン」の密輸入を目的として、ベルギーのアントウェルペン港でコンテナ管理システムがハッキングされました。
BPC には、標的型サイバー攻撃と同様のツールや手法の利用できますが、標的型サイバー攻撃では機密情報の窃取が目的である一方で、BPC では、業務プロセスの改ざんにより金銭的な利益を直接得ることが目的です。通常の業務上のやり取りを乗っ取るという点では、BPC と「ビジネスメール詐欺(BusinessEmailCompromise、BEC)」は類似していますが、BEC の場合、業務プロセスの改ざんではなく、アカウントのなりすまし等、ソーシャルエンジニアリングの手法で目標を達成します。
■BPC の種類
- 金銭の転送
法人の現金管理システムにおけるセキュリティ上の隙を突き、法人側からは正規にしか見えない不正経路へ資金を転送する手法です。
一例として給与支給詐欺が挙げられます。この手法では、システムへのアクセス権を持つサイバー犯罪者または内部の協力者が、身代わりのあるいは偽の従業員情報を追加し、それらを利用して賃金を転送します。
不正な銀行送金もこのタイプの BPC に分類されます。サイバー犯罪者は、銀行の送金システムの抜け穴を突き止め、コードの改ざんあるいはマルウェアの利用によって自身たちの口座へ資金を転送します。
- 「Piggybacking(ピギーバッキング)」
この手法では、正規の業務プロセスを利用して違法な商品の搬送やマルウェアの転送等を秘密裏に実行します。正規の業務プロセスに便乗し、背後でこうした違法な取引を行うことで大きな金銭的収入が得られます。
- 金融操作
企業買収のような重要な意思決定や財務成果に影響を与えることを目的とした BPC 手法です。サイバー犯罪者は、主要業務システムや関連プロセスに不正な情報を入力することでこの手法を実行します。
例えば、株価を歪めるために株取引ソフトウェアやシステムが狙われた場合、サイバー犯罪者によって株取引が操作される恐れがあります。不正な取引業者は、市場価格の急激な変動を利用し、数千ドル、あるいは数百万ドルですら稼ぐことができるかもしれません。
■BPC 対策
- 例外的な挙動を判別するために複数のセンサーから集めた情報を分析する
さまざまなセンサーや測定から得た情報を分析することで、情報の整合性を比較し、例外的な挙動を判別するための基準を得ることができます。企業においてすべての記録と取引を定期的に監査することは、セキュリティ上の欠陥を特定し改善する上で非常に重要です。
- 他の類似した業界の事例やプロセスと比較し、統計的な差異等を確認する
挙動監視や侵入防御のようなセキュリティ技術により、ネットワークにおける不整合の検出や疑わしい挙動の識別が可能になります。その他、企業は、不測の事態や必要な対処を補完する上で、別業界の事例およびプロセスもしくは公開情報から得た類似データを利用するべきです。
- オペレーションセキュリティ(OPSEC)の演習を通して業務プロセスのセキュリティ強化を図る
外部のセキュリティ専門家に「レッドチーム演習」を依頼し、利用手法およびツール、手順、所定のセキュリティ施策等のあらゆる要素を考慮に入れた攻撃を模擬的に実施することにより、セキュリティ準備状況を試験し、見過ごされがちな観点や欠陥を洗い出すことが可能です。演習を実施するチームには、マネーロンダリングに詳しい「フォレンジック会計士」が含まれていなければなりません。
- 品質保証、品質管理、侵入テストを定期的に実施する
侵入テスト、品質保証、品質管理の実施は、脆弱性など、ネットワーク上で攻撃に利用される深刻な弱点を明らかにします。侵入テストの実施に際しては、攻撃者がすでに最高レベルのアクセス権限を取得しているという想定下でテストし、現状の対策プロセスで実際の攻撃を軽減できるかどうかという観点で検証しなければなりません。また、現行の業務プロセスに悪用可能な欠陥や弱点が無いか確認するためにも、ビジネスロジックに注目したテストを実施するべきです。
- スクリプトで実行可能な操作を制限する
サイバー犯罪者は、ビジネスロジックの不具合を突き止め、特定の操作を実行するためにスクリプトを悪用するかもしれません。不要なプロセスの実行を制限することで、こうした脅威に対処できます。
- 適切な職務分掌
内部犯行による脅威を防ぐためには、複数部署で職務を分担することが重要です。例えば、金融を扱う担当者は、IT 部門とは別の所属であるべきです。同様に、製品テストを担当するチームは、相互利害が不正な干渉を阻止するためにも、製造ラインとは分離されていなければなりません。
- 重要業務では異なるチームやネットワークの 2 名による分担を必須とする
BPC では、正規のプロセスが悪用されるため、対策が困難となります。こうしたプロセスの操作で 2 名による分担を必須化することで、攻撃の完全抑止にはならないものの、サイバー犯罪者による金銭窃取を困難にする効果があります。例えば銀行では 2 名による職務分担が通例となっていますが、これによりサイバー犯罪者は、攻撃に際して 2 つの異なる認証情報窃取が必要となります。
- ソーシャルエンジニアリングへの理解を深める社員教育を実施する
幹部(CEO や CFO 等)から現場の従業員、さらに提携先企業も含め、すべての社員がBPCを理解して対応できるようセキュリティ意識醸成の教育を徹底してください。また、信頼できるアプリケーションのみインストールする、正規サイトにのみ情報を入力する等の基本的なセキュリティ対策により、攻撃の初期段階でリスクの侵入を防ぐことが可能です。
| 日付 | 影響を受けた法人 | 詳細 |
| 2016 年 5 月 | ベトナムの政府系銀行「Tien Phong Commercial Joint Stock Bank」 | SWIFT 接続を請け負うサードパーティのサービスを介して113 万米ドル(2017 年 10 月 3 日のレートで約 1 億 2,800 万円)の不正な送金リクエストが確認されたが、未然に阻止。 |
| 2016 年 4 月 19 日 | 米給与業務大手「Automatic Data Processing, Inc.、ADP」 | サイバー犯罪者は、税および給与情報(「W-2」データ)を入手するため、ADP のポータルサイトに不正アカウントを作成。さらに、影響を受けた企業に対して発行された ADP のオンラインアカウント情報を利用することで、その従業員の氏名を悪用して偽の ITR(所得税申告書)提出が可能になる。 |
| 2016 年 2 月 | バングラディッシュ中央銀行 | サイバー犯罪者は、同行の口座からフィリピン等の複数の口座へ9 億 5,100 万米ドル(2017 年 10 月 3 日のレートで約 1,080 億円)の送金を試みた。途中、宛先のスペルミスで発覚したため、実際の損失額は 8,100 万米ドル(同日レートで 91 億 6 千万円)。SWIFTのメッセージングネットワークを狙うために特別に設計されたツールが利用された。このツールにより、メッセージを編集して送金ルート変更が可能となる。 |
| 2015 年 1 月 | エクセルの銀行「Banco del Austro」 | サイバー犯罪者は、同行が SWIFT による送金に使用しているコードを入手して犯行に及んだ。報道によると、窃取された金銭はドバイ、香港、ロサンゼルス、ニューヨークの各口座に送金され、損失額は 1,200 万米ドル(2017 年 10 月 3 日のレートで 13 億 6 千万円)に達した。 |
| 2015 年 2 月 27 日 | ロシアの取引システム | ロシアの取引システムにオンライン銀行詐欺ツール「Corkow/Metel」が侵入。キーロガー機能を利用して情報収集や標的特定の攻撃に見舞われた。Corkowは、取引システム「QUICK」や「TRANSAQ」を攻撃するモジュールを備えていることで知られている。攻撃時間は 14 分間のみだったが、この「予行演習」により為替相場は、1 米ドルあたり通常は 60/62 ルーブル(買い/売り)のところ、55/62 ルーブル(買い/売り)の間で大きく変動した。 |
| 2011 年6 月 ~2013 年 |
ベルギーのアントウェルペン港 | コンテナの管理システムがサイバー犯罪者にハッキングされ、マルウェアが添付されたがスパムメールがアントワープ港の職員に送信された。マルウェアにより、サイバー犯罪者は、密輸入した麻薬を載せたコンテナを特定する情報が取得可能となり、130 万ユーロ相当(2017 年 10 月 3 日のレートで約 1 億 7,200 万円)の麻薬が取引された。 |
| 2012 年 11 月 21 日 | 米ウィスコンシン州の学区「Stanley-Boyd School District」 | サイバー犯罪者により、同学区の銀行「AnchorBank」の預金ファイルの支払い先情報が改ざんされた。銀行側ではシステム改ざんの証拠は確認されたなかった。 |
| 2011 年 7 月 | イベント会場運営組織「Metropolitan Entertainment & Convention Authority、MECA」 | 給与システムへのアクセス権を持つ従業員の認証情報が窃取され、6 名の偽従業員が給与名簿に追加された。6 名は東欧所在のサイバー犯罪者へ送金する「運び屋」で、「Back Office Group」と呼ばれる組織。運び屋の一人、Erik Rhoden は、MECA から 9,000 米ドル(2017 年 10 月 3 日のレートで約 102 万円)以上の給与を受け取り、東欧に送金していた。 |
【更新情報】
| 2017/10/10 12:30 |
| 「95,100 万米ドル」を「9 億 5,100 万米ドル」に修正しました。 |
| 「130 万ポンド」を「130 万ユーロ」に修正し、換算額を更新しました。 |
| 「業務プロセスに侵入し」を「業務プロセスを侵害し」に修正しました。 |
参考記事:
- 「Business Process Compromise (BPC)」
by Trend Micro
翻訳:澤山 高士(Core Technology Marketing, TrendLabs)