ビジネスメール詐欺対策の新技術を発表/トレンドマイクロAI技術でメール作成者の“クセ”を分析
なりすましを見破る「Writing Style DNA」

トレンドマイクロが、国内でも攻撃本格化の兆しを見せるビジネスメール詐欺(BEC)対策の新技術「Writing Style DNA」を発表。同技術を搭載したクラウドアプリ向けセキュリティサービスを2月15日から提供開始するとしました。ここでは、都内で開催された発表会をベースに、BECの最新手口と新技術の特徴をレポートしましょう。

国内でも本格化、さらに手口は巧妙化

都内で開催された新技術発表会では、トレンドマイクロのビジネスマーケティング本部エンタープライズソリューション部の宮崎謙太郎部長が登壇。まず、ビジネスメール詐欺の手口と最新動向について語りました。

●トレンドマイクロ ビジネスマーケティング本部エンタープライズソリューション部の宮崎謙太郎部長

シャニムWEBでも何度か解説してきましたが、ビジネスメール詐欺とは「サイバー攻撃者が経営幹部や取引先などになりすましたメールにより、金銭や特定の情報をだまし取る犯罪」のこと。英語では「Business Email Compromise」といい、その頭文字をとって「BEC」の略称で呼ばれることも多くなっています。

ビジネスメール詐欺のシナリオにはいくつかありますが、「自社の経営幹部になりすまして偽の送金指示メールを送る(CEO詐欺)もの」と「取引先になりすまして偽の請求書を送るもの」の2つが代表的です。

これまでのサイバー攻撃とビジネスメール詐欺で最も異なる点は、ビジネスメール詐欺は「テキストの文面で人をだます」ことから、ソーシャルエンジニアリングの手法を取り入れた手法であることです。このため、従来の技術だけでは、防ぎ切れない側面があります。

また、従来のサイバー攻撃に比べて、サイバー犯罪者にとって成功した時のリターンが多額になることもビジネスメール詐欺の大きな特徴です。FBIの調査によると、1件あたりの被害額は平均で2000万円にもなるとのこと。2017年12月には、日本の航空会社が取引先を装った犯人に約3億8000万円をだまし取られた事件を記憶している読者もいることでしょう。

英文が中心であったことからビジネスメール詐欺の被害は海外が中心でしたが、今後は「日本企業にとっても他人事ではなくなる」と宮崎部長は指摘します。トレンドマイクロが2018年に実施した「ビジネスメール詐欺に関する実態調査」によると、すでに約4割がビジネスメール詐欺を経験したという結果が出ています。

●ビジネスメール詐欺に関する実態調査2018(発表会資料より引用)

これまでは、国内企業でビジネスメール詐欺を経験したことがある企業は製造業や流通業など海外とのやり取りが比較的多い業種がほとんどでした。というのも、前述したように、テキストが英語であったためです。しかし、宮崎部長は「すでに日本語のビジネスメール詐欺も確認されている」といい、「このことはサイバー犯罪者が日本ターゲットにしたことを意味しており、今は拙い日本語であっても時間と共に巧妙になる」と警鐘を鳴らしています。

ともすれば、コストや手間の面から後回しになりがちなセキュリティ対策ですが、被害額が大きいだけに、早めのビジネスメール詐欺対策が必要といえそうです。

ビジネスメール詐欺の手口とは

ビジネスメール詐欺対策には、その手口を知る必要があります。送られてくるなりすましメールには大きく2つあります。「社内情報や取引先情報をもとにした高度ななりすまし」と「公開情報をもとにした安易ななりすまし」です。後者は技術が不要で事前調査に手間がかからないバラ撒き型の攻撃で、メールを受け取った側も注意していればビジネスメール詐欺と気づきやすい手口です。これに対して、やっかいなのは前者。ターゲットの徹底調査をもとに作成したなりすましメールなので、だまされやすいわけです。

高度ななりすましメールを送ってくる手口は、サイバー犯罪者による標的企業の情報収集から始まります。フィッシングやキーロガーなどの手段でターゲットのメールアカウントを乗っ取り、日常業務におけるやり取りなどをじっくりと観察。その上で、最適なタイミングを見計らい、標的企業の経営幹部や取引先になりすましたメールで、偽の送金や情報送信依頼を送り付けてきます。実際に業務のやり取りが観察されているため、メールの文面やタイミングなどが絶妙であり、送られた側もだまされてしまうわけです。

●ビジネスメール詐欺の流れ(発表会資料より引用)

ビジネスメール詐欺の対策は

こうした手口を踏まえ、宮崎部長はビジネスメール詐欺対策として「組織的対策・技術的対策の重要性」に言及しました。これは、詐欺メールに対して送金を未然に防ぐことができた理由を尋ねた調査で、「メール受信者がなりすましメールであることに気づいた」「セキュリティ対策製品によってなりすましメールに気づいた」ことで、送金しなかった割合が上位を占めたことが背景にあります。

まずは、企業が取り組むべきこととして「送金処理に関する社内ポリシー、承認・処理プロセスの整備」「振込先変更手続きのプロセス整備」「従業員に対する教育」など、組織的対策を掲示。その上で、技術的対策として、多層防御が重要であるとしました。

●技術的対策:多層防御の重要性(発表会資料より引用)

例えば、不正サイトへの誘導、不正アクセス、フィッシングやキーロガーなどによりメールアカウントが乗っ取られて情報収集されるリスクを防ぐには、従来通りのセキュリティ対策が欠かせません。さらに、なりすましメールに対しては、不正メールサーバーによる模造ドメインを検知して詐欺メールをブロックする機能(送信者ドメイン認証)、送信者情報や件名、本文内の文言などから詐欺メールを検知する機能も存在します。

とはいえ、巧妙化する詐欺メールには送信者情報や件名、メール本文に不審な点が見られないケースが増えており、前述の対策だけではすべてのケースに対処できず、完全に攻撃を防げるものではありません。そこで、トレンドマイクロが新しく開発したのが、メールのテキストそのものを解析して“なりすまし”を見抜くという技術です。

トレンドのBEC対策新技術「Writing Style DNA」

トレンドマイクロによる“なりすましメールを見抜く”新技術は、「Writing Style DNA」です。最大の特徴は、AI技術によりメール作成者の書き方のクセを分析し、なりすましメールを防ぐという点でしょう。これまでにないアプローチといえます。

具体的には、なりすましの対象となりそうな経営幹部の実際のメールについて500~800通を元に、大文字の利用頻度や文章の長さ、空白、句読点、略称の利用頻度といった約7000の特徴をAI技術により学習。当人のWriting Style DNAモデルを作成します。

このモデルをベースに、送信されてきたメールと照合。モデルとの差異が大きい場合にはなりすましメールの疑いがあると判断するわけです。

●Writing Style DNAによるAI学習の概要(発表会資料より引用)
●Writing Style DNAで作成されるモデルの例(発表会資料より引用)

「人はだれでも書き方のクセを持っている。Writing Style DNAでは、メール本文を深掘りすることにより、人的には気づかないようなクセもモデル化できる。なりすましにより偽装される可能性がある経営幹部などのメールの書き方のクセを学習し、これをメール受信時に比較することで、なりすましメールを検知する」(宮崎部長)とのこと。従来技術と併用する多重防御により、さらにビジネスメール詐欺を防げるとしています。

また、なりすましによるビジネスメール詐欺の疑いがあると判断されると、メール受信者や管理者に詐欺の疑いあるという警告付きのメールを送信。さらに、偽装された経営幹部にも本人が実際に送信したかどうかを確認するメールが送られます。

●Writing Style DNAの検知フロー(発表会資料より引用)

トレンドマイクロでは、新技術を同社のクラウドアプリケーション向けセキュリティサービス「Trend Micro Cloud App Security」(2019年2月15日から)とMicrosoft Exchange Server向けメール脅威対策製品「InterScan for Microsoft Exchange」(2019年2月18日から)で新機能として提供を開始するとしています。(長谷川丈一)