第4回 スティング:ビジネスメール詐欺とダークウェッブ
1. はじめに
「スティング」という映画をご存知でしょうか。ポール・ニューマンとロバート・レッドフォードが主演のコンゲームと呼ばれる分野の映画です。コンゲームとは信用詐欺、取り込み詐欺を扱った物語で、「スティング」はその分野での代表作と言われています。この映画では、詐欺を行うために大掛かりな仕掛け、特に詐欺を行うために様々な役目の人が登場します。スティング(sting)は英語で「突き刺す」という意味ですが、俗語で「ぼったくる」という意味があり、その大掛かりな仕掛けによって、最後は「ぼったくる」物語なのです。昨今のビジネスメール詐欺は、まさに大掛かりな仕掛けの上で「ぼったくられる」現実の被害なのです。この仕掛けに、通常、人物こそ登場しませんが、多種多様な情報が利用され、この情報源こそ、ダークウェッブなのです。
2. 悪のマッチングサイト
一昔前に「闇サイト」が問題になりました。いわゆる「悪のマッチングサイト」です。マッチングサイトとは、需要と供給の仲立ちをするインターネットサービスです。すべてのネットサービスの基本といっても過言ではありません。たとえばオークションサイトやフリマアプリでは、売りたい人と買いたい人の仲立ちをするサービスとなっています。これを悪人が利用しました。犯罪者がその片棒を担ぐ仲間をネットで募集したのです。闇サイトは犯罪に関わる、ありとあらゆる仲立ちに使われました。殺人まで引き起こした、この闇サイトは当然のことながら取り締まりの対象となり、一掃されたかのように見えます。しかし無くなったわけではないのです。
3. ダークウェッブとは
闇サイトは地下に潜りました。つまり、一般の人の目に触れないところに作られたのです。目の触れないところとは、特殊な操作をしなければ見ることができないという意味です。さらに一般のマッチングサイトやウェッブであるならば、誰がアクセス、つまり閲覧したか、調べればわかるのですが、この地下に潜った闇サイトはわからないのです。今ではダークウェッブと呼ばれ、国際化しています。ありとあらゆる違法なものが各国の言語で取引されているのです。犯罪者同士の結託だけでなく、違法薬物や盗品、銃器なども取引されています。ダークウェッブは違法ですが、犯罪と無縁な一般人は無関係なのでしょうか。アクセスしなければ、直接犯罪に巻き込まれることはないのでしょうか。いえ、そうではありません。ダークウェッブでは過去に流出したパスワードやクレジット番号等の個人情報や企業の秘密情報も取引されています。特に企業の様々な情報は大きな、そして組織的な詐欺を引き起こす可能性があります。
4. ビジネスメール詐欺
2017年末、日本航空(JAL)が振り込み詐欺の被害に遭い、約3憶8千万円を騙し取られる事件が発覚しました。取引先に成りすまして、航空機リース料の請求メールを送られ、騙されてしまったのです。メールもほとんど本物と見分けがつかず、請求書も本物に酷似した従来通りの形式で、発信者も従来の取引先の名前とメールアドレスが表示されていたそうです。もちろん騙されて振込手続きを行い、それを許可した人の責任は免れませんが、必ずしも強く非難できないでしょう。サイバーセキュリティ対策を行っているJALですら騙されるのです。あなたの会社の詳細な取引情報がダークウェッブで売られているかもしれません。それを利用してJALのような巧妙な振り込め詐欺に遭うかもしれないのです。会社の取引情報も含めて、ありとあらゆる情報の管理を厳しくすることはますます重要になってきていますが、それでもダークウェッブに流出し悪用される可能性があります。振り込め詐欺に注意するのは高齢者だけでなく、会社も注意しなければならないのです。
5. むすびにかえて
ダークウェッブで企業の秘密情報が売買されている可能性があるのです。もちろん、新規プロジェクトの情報や製品開発情報といった極めて機微な秘密情報の可能性もあるのですが、何気ない企業内、あるいは取引先とのメールが売買されています。そのメールには契約書や請求書、領収書、納品書の類が添付されていることもあり、取引相手との詳細なやり取りが記載されています。そのような情報を基にして、ビジネスメール詐欺をはたらき、企業を、そして担当者を信用させ、偽の取引、つまり詐欺を行うのです。では、このような情報はどこから漏れるのでしょうか。一概には言えませんが、マルウェアによる情報搾取が多いようです。多くの企業が、「私の会社はマルウェア対策を行っており、かつ情報漏洩が起こった事実はない」と言うことでしょう。しかし、昨今のマルウェアの大きな特徴はそのステルス性、つまりマルウェアに感染したことも、そのマルウェアが発症し、情報漏洩や感染等を行ったことすら察知されないようにすることです。企業の規模に関わらず、マルウェア対策を見直すとともに、自社の情報漏洩の可能性やビジネスメール詐欺についても対岸の火事と考えず、その対策について少なからず危惧することが肝要です。