2023年3月、テック系スタートアップを支援するシリコンバレー銀行が経営破綻に陥った。経営破綻に乗じたフィッシング詐欺やビジネスメール詐欺の特徴、こうした詐欺から回避する方法を解説する。
この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「WeLiveSecurity」の記事を翻訳したものである。
混乱を招く大事件やニュースの後には、フィッシング攻撃が急増する傾向にある。コロナ禍やロシアによるウクライナ侵攻が代表例で、直近ではシリコンバレー銀行(以下、SVB)の破綻が挙げられる。米国の金融機関としては中堅のSVBは、テック系スタートアップの主要な資金提供元であった。2023年3月に経営破綻した時点で、数百億ドル(数兆円相当)規模の資産を有していた。
顧客が預けた資金を引き出せるよう、経営破綻の数日後には米国政府が介入したものの、損害は発生した。たとえ自分自身や会社がSVBの破綻による直接的な影響がなくとも、混乱に乗じたサイバー犯罪に遭う可能性は誰にでもあるのだ。
世の中の混乱や人の不幸につけ込むフィッシングメールやビジネスメール詐欺(BEC)は、世界中で巻き起こっている。このSVBの事例には、今後、セキュリティの意識向上プログラムをより強固にするために必要な多くの教訓がある。
実際に起こったシリコンバレー銀行詐欺
詐欺の成功率を高めるために、ニュースになった事件に便乗する手法は今に始まったことではない。しかし、SVBのケースでは、詐欺師にとって都合の良い要素がいくつも含まれていた。
- 大金が絡んでいるという事実。破綻当時、SVBは推定で2,000億ドル(26兆円相当)の資産を有していた
- 資金を引き出せない場合の支払いに苦慮する法人顧客や、個人の預金者も同様の不安を抱えていた
- 破綻後のSVBへの連絡方法についての混乱
- シグネチャー銀行の破綻直後にSVBの破綻が起こった連続性。金融システム全体の健全性や資金の行方に関する不安が増大した
- 英国や欧州全域の関連事業や支店などに及ぶ、SVBのグローバル展開。これにより、詐欺の標的となり得る対象が拡大
- ビジネスメール詐欺の横行。SVBの法人顧客が取引先に口座情報の変更を通知する機会を狙い、詐欺師は先んじて不正な口座情報を取引先に案内した
破綻した銀行の法人顧客に対し、正規ローンや法的サービスを提供しようとする企業が複数のドメインを登録することは珍しくない。そのため、正規のドメインと不正目的で登録されたものを見分けるのは困難だ。
実際、新規登録された、なりすましたドメインが多数見つかっている。
=======================
Security Snacks
シリコンバレー銀行に関連した新しいドメインの登録が増えている。中にはフィッシング攻撃も含まれている。現在確認中のドメインリストを以下に示す。すべてが詐欺ではない点に注意してほしい。また、シリコンバレー銀行を標的にしたドメインすべてが、シリコンバレー銀行に関連した単語を含んでいるわけではない。
=======================
シリコンバレー銀行のフィッシング攻撃
フィッシング攻撃は、古典的なソーシャルエンジニアリング手法を用いる。その典型例を以下に示す。
- 標的の興味を引くために最新のニュースを利用する
- 標的の信頼を得るために、SVBなどの金融機関になりすます
- 緊急性を訴えて、考える時間を与えず行動するよう促す。破綻を取り巻く状況を考えれば、難しくはないだろう
- 情報や資金の詐取を目的に、悪意のあるリンクや添付ファイルを送り付ける
=======================
Jaime Blasco
シリコンバレー銀行の現状を悪用する攻撃者に注意しよう。フィッシング詐欺に使われる可能性のあるインフラが設置されようとしている。例えば、login-svb.com、cash4svb.com、svbclaim.com、svbdebt.comといったドメインが確認された。
=======================
SVBの顧客情報を詐取することを目的にしたフィッシング攻撃もある。ダークウェブで販売したり、今後の詐欺に悪用するリストを作ったりする可能性がある。また、標的から金銭を騙し取るための巧妙な詐欺手法に用いるのかもしれない。
また、暗号資産(仮想通貨)の一種であるUSDC(USDコイン)の保有者は、クリックするだけでシリコンバレー銀行に預けた資金が引き出せるという、偽の報酬プログラムを拡散する詐欺も見られた。騙されてQRコードを読み込んでしまうと、攻撃者は標的の暗号資産ウォレットアカウントに不正侵入できるようになってしまう。
QRコードを介して暗号資産を詐取する手口はほかにもある。それは、USDCの発行元であるサークル社の発表が発端となった。同社が、USDCを米ドルと1対1で交換できるようになると発表すると、USDC請求ページを模倣したフィッシングサイトが瞬く間に作成されたのだ。
シリコンバレー銀行のビジネスメール詐欺
前述のとおり、SVBの破綻はビジネスメール詐欺にうってつけの状況だ。これまでSVBを使っていた取引先が金融機関を変更した場合、自社の経理・財務部門へ変更通知を送るだろう。これは極めて合理的で自然な行動である。口座情報を更新しなければならないからだ。攻撃者はこの混乱に乗じて、同じ行動を取ろうとする。取引先になりすまして、不正な口座情報を伝えるのだ。
なりすましたドメインから攻撃が仕掛けられる場合もあるが、より巧妙なケースもある。取引先のメールアカウントを乗っ取り、正規のドメインからメールが送られるケースだ。十分なセキュリティ対策を講じていない企業では、詐欺師へ誤って送金してしまう恐れがある。
シリコンバレー銀行詐欺や類似した脅威から身を守る方法
フィッシング詐欺やビジネスメール詐欺は拡大を続けている。FBIのインターネット犯罪レポート2022年版によると、2022年に30万件以上のフィッシング詐欺による被害が生じ、最も多いサイバー犯罪であることがわかった。2022年におけるビジネスメール詐欺被害は27億ドル(3,500億円相当)以上となり、2番目に収益の多いカテゴリーとなった。多発するフィッシング詐欺やビジネスメール詐欺から身を守るために、以下の点に注意してほしい。
- メールやSMS、ソーシャルメディアなどで受信した、見知らぬ送信者からのメッセージには注意する。返信するかどうか決める前に、送信者の実態を確認する
- 見知らぬ送信者からのメッセージからダウンロードしたり、リンクをクリックしたりしてはならない。また、機密情報を送るのも避ける
- なりすましメールかどうか判断するために、文法ミスやタイプミスに注目する
- メール送信者の表示名にマウスカーソルを重ねて、正規のものかどうか確認する
- すべてのオンラインアカウントで二要素認証(2FA)を有効にする
- すべてのアカウントに複雑で推測されにくいパスワードを設定し、可能であればパスワードマネージャーで保管する
- すべての端末で定期的にパッチを当てるか、自動更新を適用する
- 疑わしい挙動があれば、社内のセキュリティ部門に報告する
- 信頼できるベンダーが提供する最新のセキュリティソフトウェアをすべての端末に導入する
ビジネスメール詐欺については、以下の方法も試してほしい。
- 口座情報を変更したり、新しい口座へ送金したりする前に、同僚へ確認する
- いかなる口座情報の変更も依頼元に再確認する。メールに返信するのではなく、自分のアドレス帳から独自に確認する
企業のITセキュリティ部門に対しては、以下の点を注意してもらいたい。
- 現在流行している攻撃のシミュレーションを含め、すべての従業員に対し、継続的にフィッシング詐欺に関する研修を実施する
- 詐欺メールが送られてきても適切に対処できるよう、ゲーミフィケーションの手法を活用する
- 従業員向けのセキュリティ意識向上のための研修にビジネスメール詐欺を組み込む
- 高度なメールセキュリティソリューションを導入し、脅威が標的に到達する前に防ぐ。スパム対策、フィッシング対策、サーバーの保護などを含めたものが望ましい
- 多額の送金は複数の従業員による承認が必要となるよう、支払いプロセスを更新する
見知らぬ人物からのメールや電話には、誰もが注意する必要がある。銀行から届くものや緊急対応を要するものはなおさらだ。いかなる時も、リンクをクリックしたり、銀行のログイン情報や電話番号を渡したりしてはならない。また、銀行の情報にアクセスする際には、公式のWebサイトを利用するようにしてほしい。