FBIが2020年インターネット犯罪報告書を発表

　2021年4月9日に公表されたFBIアラスカ州アンカレッジ地方事務所内の「インターネット犯罪苦情センター(Internet Crime Complaint Center：IC3)」レポートは、被害者から苦情報告された詐欺の増加を示すとともに、FBIは、関係者に対しオンライン安全慣行を強く要請した。

　今回のブログは、その概要を報告するとともに、先最近時に急増してい.る「ビジネスメール詐欺(Busiess E-mail Compromise scams：BEC)」、「Emailアカウントなり代り詐欺(Email Account Compromise：EAC)」および「技術サポート詐欺(tech support scams)」などの最新動向を概観する。

１．報告書の概要

　2021年4月9日、FBIアンカレッジ事務所内(AK-FBI)の「インターネット犯罪苦情センター(Internet Crime Complaint Center：IC3)(https://www.ic3.gov/)は、インターネット犯罪の疑いのある791,790件の苦情(2019年比で30万件以上の件数増加)からの情報を含む「2020年次犯罪報告書」を発表し、42億ドル(約3270億円)を超える損失を報告した。特に、 2020 COVID-19 パンデミックを悪用する詐欺の出現を見た”IC3”はCOVID-19に関連する28,500件以上の苦情を受けとったが、詐欺師は企業と個人の両方を標的にした。

　アラスカ州における州ベースの報告書では、アラスカ州の2,300人近くの犠牲者がIC3にインターネット犯罪の疑いをもって苦情を申し立て、600万ドル(約65,400万円)を超える損が報告され、アラスカ州の高齢者を極めて重大な影響を与えた。アラスカ州では、被害者によって報告された犯罪の上位3種は、知的財産権や著作権(IPR/copyright )等偽造詐欺・ゆすり(extortion,)詐欺、未配達詐欺/代金不払詐欺(non-payment/non-delivery scams)であった。しかし、被害者はビジネスメール詐欺(Busiess E-mail Compromise scams：BEC) (筆者注1) (筆者ブログ参照)、国際ロマンス詐欺、技術サポート詐欺(tech support scams)(筆者注2)に最も多くの資金を失った。報告書でこれらの詐欺は次の通り記述している。

(1) IPR/著作権および偽造詐欺

公衆の健康や安全を脅かす企業秘密や偽造品の盗難に関する詐欺である。

(2) 強要:詐欺

脅迫または不当な権限行使によるお金や財産の違法な要求する行為。身体的危害、刑事訴追、公衆の暴露などの脅威が含まれる場合がある。

(3) 未配達詐欺/代金不払詐欺

　代金不払詐欺の状況では、商品やサービスは出荷されますが、支払いは行われない。未配送詐欺の状況では、支払金いが送信されるが、商品やサービスは提供されない。

(4)ビジネスメールの違法侵害/電子メールアカウントの違法な侵害

　BECは、定期的に電信送金の支払いを行う外国のサプライヤーや企業と協力して(個人ではない)企業をターゲットに詐欺である。”Email Account Compromise：EAC(筆者注3)は、個人をターゲットにした同様の詐欺である。これらの手の込んだ詐欺は、不正な資金の移転を行うためにソーシャル・エンジニアリングやコンピュータ侵入技術を通じて電子メールアカウントを侵害詐欺師によって行われている。

(5) 国際ロマンス詐欺

　ほとんどの場合、ソーシャルメディアや出会い系サイトを通じて、被害者は彼らが関係(家族、フレンドリー、またはロマンチック)であると信じており、加害者に送金、個人的、金融取引情報、または価値のあるアイテムを送ったり、加害者を助けるために資金やアイテムをロンダリングするためにだまされる。

(6)技術サポート詐欺

  犯罪者は、技術サポートの代表者としてポーズをとり、存在しないコンピュータの問題を修正することを申し出て、.詐欺師は、被害者のデバイスや機密情報へのリモート・アクセスを取得する。

　一般的にみて詐欺計画の被害者から身を守るためには、認識できない架電番号からの電話に応答することに注意されたい。個人的に知らない人に金銭やギフトカードを送らないでほしい。また、電話や知らない個人に個人を特定できる個人情報を提供しないでください。

　政府機関を名乗るなりすまし詐欺のような一部のスキームでは、犯罪者はなりすまし番号から呼び出す政府職員としてのポーズをとり、資金、ギフトカードまたは個人識別情報を取得することに同意しない限り、被害者を逮捕または起訴すると脅す。これらの呼び出しは不正・違法行為である。非合法的な法執行官は、一般の人々からの支払い、ギフトカード、または個人を特定できる個人情報を要求する一方的な電話をかけるのである。

２．まとめ

　FBIは、犯罪インターネット活動の疑いがある場合、”ic3.gov”の”IC3”に直ちに報告するよう国民に覚えてほしいと考えている。インターネット犯罪被害を報告することで、被害者は法執行機関に活動を警告するだけでなく、サイバー犯罪との全体的な戦いを支援していることになる。

３．その他の追加関連リンク情報:

①「2020インターネット犯罪報告書(pdf 全 30頁)」

②「2020年の州別インターネット犯罪カテゴリー別レポート」

③FBIの解説サイト「一般的な詐欺と犯罪」

④ FBIの解説サイト「詐欺と安全、一般的な高齢者詐欺スキーム」

**********************************************************************

(筆者注1) 通称BEC（Business E-mail Compromise）は、現在世界で最も警戒されているサイバー攻撃の一つとして対策が必要なものである。BECはそうしたビジネスメールの「隙間」に入り込んで、取引先の経営者や営業担当者等を装って金銭をだまし取るというタイプのサイバー攻撃です。

　それでは、ビジネスメール詐欺（BEC）と標的型攻撃とは何が違うのでしょうか？

ここであらためて標的型攻撃に関しておさらいしておきましょう。標的型攻撃は不特定多数の人に向けて、マルウェアに感染した電子メールを送信するような無差別攻撃ではなく、特定のターゲットを決めた上でマルウェアに感染した電子メールを送信し、添付されたファイルを巧みに実行させるというサイバー攻撃です。高度な標的型攻撃ではターゲットの身辺調査や業界特有の商習慣等を十分に理解した上で電子メールを送信するため、人々は信用しきってしまい騙されるため、防御が非常に難しいサイバー攻撃としても知られています。標的型攻撃の目的は「情報の搾取」です。

　BECが標的型攻撃と違う点はまず、ターゲットと実際の取引先がやり取りしている電子メールに介入するということです。攻撃者はあらゆる手を尽くしてターゲットと取引先の電子メールを傍受し、ここだというタイミングを伺います。そのタイミングが訪れたら取引先に成りすまして電子メールを送信し、攻撃者が持つ口座に送金させようとします。そのため一見して第三者からの不正な電子メールだと気づくことは困難です。

もう1つの違いは直接的な金銭搾取を目的にしていることです。多くの場合、標的型攻撃の目標は情報搾取ですが、BECは不正送金を促します。個人情報流出による被害はありませんが、莫大な不正送金額になることもあるため甚大な被害をもたらします。以下略す。

㈱ネットワークバリューコンポネンツ「ビジネスメール詐欺(BEC)って何？」

から一部抜粋。なお、このブログはわが国のBEC被害の現状や具体的対応策についても言及している。

また、proofpointの「ビジネスメール詐欺（BEC）」も防御策につき詳しく解説している。

　また、FBIの”Business Email Compromise ”は、タイムラインに即して図解入りでより詳細に手口や防御方法等について解説している。

　この問題は、金融機関であるStandard Chartered Bankも”The high cpst of business email compromise (BEC) fraud”サイトで強い関心とその対策などにつき詳しく警告している。

(筆者注2)「テクニカル サポート詐欺との戦い」(Microsoftの翻訳解説)や米国連邦取引委員会(FTC)消費者情報局”How to Spot, Avoid and Report Tech Support Scams”が図解入りで手口や被害阻止策等を詳しく解説している。

(筆者注3) 誰かになりすましてメールを送信するビジネスメール詐欺 (BEC / Business Email Compromise) であれ、実際の誰かのアカウントを使ってなり代わってメールを送信するメールアカウント侵害 (EAC / Email Account Compromise) であれ、攻撃者はアイデンティティの詐称を利用しています。ビジネスメール詐欺 (BEC) は、被害者に金銭や個人情報を組織の外に送るように要求します。攻撃者は、CEOや財務担当副社長などの権限を持つ人物になりすますことでこれを行います。(proofpointの解説から一部抜粋)。

***********************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

　その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　　　　　　　                                          Civilian Watchdog in Japan & Financial and Social System of Information Security　代表

*******************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.