ジョージア州のナイジェリア人が約270万ドルのビジネスメール詐欺を監督主導した罪で40ヶ月の拘禁刑、365,205ドルの没収、2,691,908ドルの被害者に対する賠償金が命じられた

  本名インフェアニ・エケ(Ifeanyi Eke)は、この詐欺犯罪計画において監督的役割を果たし、ニューヨークの国連本部を含む35人の犠牲者に対して約270万ドル(約2億9,160万円)の損失をもたらした。

　2021年4月13日(火)、ニューヨーク南部地区のオードリー・シュトラウス(Audrey Strauss)連邦検事は、ナイジェリア人であるインフェアニ・エケ(Infeanyi Eke: 別名：ルーサー・マルバ・ドーリー：Luther Mulbah Doley)が4月13日に有罪となり、広範囲にわたる国際的な電子メール詐欺(BEC) (筆者注1)シンジケートの一環として刑罰が宣告(筆者注2)された旨発表した。

Audrey Strauss 氏

　今回のブログは、(1)2016年ころから話題となり、また急速に増加している「ビジネス電子メール詐欺(Business Email Compromise )計画」の実態をFBIのリリース内容にもとづき解説するとともに、(2)英国IT専門メディア”The Register”等の記事等に基づき起訴や裁判内容を明らかにし、さらに(3)その被害を阻止するための具体的施策について緊急提言を行うものである。

１．FBIのリリース概要

　シュトラウス連邦検事は、「被告が本日認めたように、イフェアニ・エケは300万ドル近くを数十人の犠牲者からだまし取った国際的な詐欺陰謀において重要な役割を果たした。当然のことながら、エケは、有罪(40カ月の拘禁刑、365,205ドル(約3944万円)を没収、さらに2,691,908.30ドル(約2億9073万円)の被害者に対する払い戻し)等を宣告された」と述べた。

Ifeanyi Eke 被告

　起訴状および検事局の申し立てによると、他の裁判所の提出、および裁判所の手続き中に行われた声明に基づく申し立て内容は概要、以下のとおりである。

(1) 2016年頃から2018年7月にかけて、エケと共同被告たるシリル・アシュ(Cyril Ashu)、ジョシュア・イケジンバ(Joshua Ikejimba,)、チネドゥ・アイユア(Chinedu Ironuah)を含む彼の共謀者は、米国内外の数十人の犠牲者をハッキングしてシンジケートが管理する銀行口座に数百万ドルを送金する詐欺的なBEC計画を実行した。

　この詐欺計画は、被害者がすでに知っておりかつ信頼していた相手からのものであるといつわり、被害者が実際に被告やこの計画に関与した他の人によって管理されている口座に資金を送るように被害者に不正に指示する送金指示を含む「なりすまし」Eメールを被害者に送ることによって行われた。

　エケは、この詐欺計画において幅広い役割を果たした。すなわち、このスキームの一環として、エケは個人的に彼が開設し、制御しうる銀行口座のいくつかの異なる被害者から詐欺収益を得るため電信送金を受け取った。

(2) 犠牲者の一人である、ニューヨークに本部を置く政府間組織(国連：United Nations) (筆者注3)は、エケの銀行口座に188,815ドル(約2,039万円)を送金するよう騙された。詐欺の収益を受け取った後、エケは彼自身の使用と彼の共謀者へのs資金の配布の両方のためにそれらを引出し、転送した。エケは被害者から得た資金を直接受け取り、共謀者にばらまくことに加えて、共謀者の口座に詐欺収益を受け取るように手配し、被害者の電子メールに含まれる電信送金情報を受け取って伝達し、詐欺収益を表す小切手(キャッシャーズ・チェック：casher’s check)の取得と預け入れの調整を含む陰謀の他のメンバーを管理、監督した。合計で、エケは約270万ドル(約2億9,160万円 )、35人の犠牲者に対する実際の損失の責めを問われたのである。

(3) ジョージア州サンディスプリングスの住民であるエケ(34歳)は有罪答弁を行い、米国合衆国法典第18編第1349条に違反して、電信詐欺を犯した陰謀の1訴因で有罪を宣告され、判決を受けた。その結果40カ月の拘禁刑期に加えてエケは3年間の監視付釈放(supervised release) (筆者注4)を宣告された。さらにエケは365,205ドル(約3,944万円)を没収され、2,691,908.30ドル(約2億9,073万円)の被害者に対する賠償金の支払い(pay restitution)を命じられた。

２．エケを中心とする詐欺シンジケートの計画・手口．

　人々が財産の相続人のふりをして、被害者に資金にアクセスするためにお金を送ってもらうためのさまざまな方法を考案した悪名高いナイジェリアの電子メール詐欺とは対照的に、エケと他の3人のナイジェリア(シリル・アシュ、ジョシュア・イケジンバ、チネドゥ・アイユア)の共謀者によって実行された詐欺は、はるかに洗練されていると検事局の起訴状は述べている。

　まず、(1)彼らは大規模な企業組織をターゲットにして被害者を調査・探しだし、ターゲットがすでにビジネス関係にあるビジネスに特定の会社を設立した。次に、(2)偽の電子メールアドレスを介して偽の請求書を送信し、同じ名前で設定された本物のアカウントにリンクする送金の詳細を送った。

　その後、当該資金はキャッシャーズ・チェック(casher’s check)(筆者注5)  の形で引き出され、詐欺師はさらに先に進んだ。信じられないことに、最大の1回あたりの送金額は、彼らがニューヨーク国連本部から得た188,815ドル(約2,039万円)であった。2年間、4人の男性は検出を回避するために17以上の別名を使用し、35の異なるグループから270万ドルを得ることができた。これは、毎回平均77,000ドル強であった。 

　エケの弁護士は、他の共犯者に無意識のうちに詐欺に巻き込まれたのであり、エケがアシュとアイロヌアに精通するにつれて、彼は2人が金儲けの計画に関与していることを知り、参加する機会が与えられた。少しで米国にきて間もないエケは、アシュの地下室に住んでいて、陰謀に加わることを決心した」と裁判において主張した。 

　エケの弁護士は、エケが1つの別名(aliases)しか使用しておらず、彼が「特に洗練されていない犯罪の参加者」であるという証拠として、彼が自分の名前で開いたいくつかのアカウントを使用したという事実は、寛大に扱われるべきであるとさえ主張した。

　さらに、弁護士は「エケ氏は詐欺計画への参加の責任を受け入れる用意があるが、彼は内部紛争を経験せずに参加しなかった」と主張した。

　どうやらエケは国連から盗まれた188,000ドルに腹を立てていたので、3日間小切手を現金化できなかった。 「エケの倫理的懸念は、物質的な成功への欲求によって和らげられ、克服された」と彼の弁護士は説明した。

　FBIは特にエケ被告に同情的ではなく、エケは故意に数え切れないほどの詐欺に関与しただけでなく、いくつかの詐欺を監督したと主張した。連邦検事オードリー・シュトラウスは 「被害者の資金を直接受け取って消散させることに加えて、エケ被告は、共謀者のアカウントが詐欺の収益を受け取るように手配したり、被害者の電子メールに含まれる電信送金情報を受け取って伝達したり、買収を調整したり、詐欺の収益を表す小切手の預け入れるなど、陰謀の他のメンバーを管理および監督した」と述べた。「合計で、Ekeは合計約270万ドルの35人の犠牲者の実際の損失に責任がある」と主張したのである。

３．BEC詐欺手口の特徴とその被害阻止策

　FBIがBusiness Email Compromise(BEC)について専門サイトで詳しく解説している。以下で、その主要部を抜粋、仮訳する。

(1)犯罪者がBEC詐欺を実行する方法

　詐欺師は次のことを行う可能性がある。

①電子メールアカウントまたはWebサイトでのなりすまし行為

　正当なアドレスとの微妙なスペルの違い（例：john.kelly@examplecompany.comとjohn.kelley@examplecompany.com）は、被害者を騙して偽のアカウントが本物であると思い込ませる。

②スピア・フィッシング・メール(特定の組織や人物を狙って偽のEメールを送信し、個人情報を収集する標的型フィッシング攻撃のためのメール)を送信する。 これらのメッセージは、被害者をだまして機密情報を漏らしてしまうように、一見信頼できる送信者からのメッセージのように見える。その情報により、犯罪者は会社のアカウント、カレンダー、およびBEC計画を実行するために必要な詳細を提供するデータにアクセスできるようになる。

③マルウェアを使用する。

　悪意のあるソフトウェアが企業ネットワークに侵入し、請求書(billing)や明細付請求書(invoices)に関する正当な電子メール・スレッド(e-mail threds) (筆者注6)にアクセスする可能性がある。その情報は、会計士や財務担当者が支払い要求に質問されなおように、要求の時間を計ったりメッセージを送信したりするために使用される。またマルウェアは、犯罪者がパスワードや金融口座情報などの被害者のデータに検出されずにアクセスできるように仕向ける。 

(2)BEC被害にあわないための施策

① オンラインまたはソーシャルメディアでお互いが共有する情報に注意すること。ペットの名前、通った学校、家族へのリンク、誕生日などをオープンに共有することは、詐欺師がパスワードを推測したり、セキュリティ保護用の質問に答えたりするために必要なすべての情報を提供することにつながる。

 ② アカウント情報の更新または確認を求める迷惑メールやテキストメッセージの内容を安易にクリックしないこと。

　つまり、相手の会社の電話番号を自分で調べ（潜在的な詐欺師が提供している電話番号は使用しないこと）、また会社に電話して要求が正当かどうかを必ず尋ねること。 通信で使用されている電子メールアドレス、URL、およびスペルを注意深く調べること。詐欺師はわずかスペルの違いを利用して被害者の目を騙し、信頼を得る。

③ ダウンロードする際に十分注意すること。知らない人からの電子メールの添付ファイルを絶対に開かないこと。また、電子メールの添付ファイルが転送されることに注意すること。

④ それを許可するアカウントに二要素（または多要素）認証を設定し、その設定を無効にしないこと。

⑤ 可能であれば、支払いと購入のリクエストを直接確認するか、その人に電話して正当なものであることを確認する。アカウント番号や支払い手続きの変更は、リクエストを行った人に直接確認する必要がある。

⑥ 要求者が迅速に行動するようにあなたに堰かせるなど圧力をかけている場合は、特に注意すべきである。

***************************************************************************

(筆者注1) BECについては、2013年ころからセキュリティ関連機関から警告がてている。

2016年6月16日のTrend Microはそのブログ「多額の損失をもたらすビジネスメール詐欺「BEC」」で以下のとおり述べている。

「米連邦捜査局（FBI）による最新の統計では、2013年10月から2016年6月における「Business Email Compromise（BEC、ビジネスメール詐欺）」の活動による被害総額は約31億米ドル（約3245億円。2016年6月17日現在）に達し、世界中で約2万2千の企業へ被害が及んでいます。

2015年8月に公表された米連邦捜査局（FBI）と米国インターネット犯罪苦情センター（IC3）の情報では、ビジネスメール詐欺は 2013 年 10月頃から確認されており、2015 年 8 月までの被害総額はおよそ 8 億米ドル（約 875 億円。2016年5月25日の時点）で1300パーセントの増加を示し、一被害者あたりの被害額はおよそ14万米ドル（約 1465 万円、2016年6月17日の時点）に及ぶとしています。・・・・・・」

(筆者注2) U.S. District Court for the Southern District of New Yorkの判決原文は連邦政府の事前登録サイト(Public Access to Court Electronic Records (PACER))でも調べられるが、一部有料情報やアカウント作成に多少手間がかかるため、無料のサイト”Judicial Caselaw”でも閲覧は可である。エケ被告に対する判決文全文のURLは「https://judicialcaselaw.com/courts/nysd/cases/1_19-cr-00318-JMF/127128909987?page=1」である。8回クリックする必要があるが、全文が読める。

　なお、PACERへのアカウント登録手続きは米国国籍住民である必要はなく、筆者もすでにアカウントをもっている。登録手続上の留意点を補足する。

必須項目の*につき州の選択の前にcountry「japan」を選ぶこと、現住所、電話番号、メールアドレス等で登録できる。申込者の連邦の裁判区の質問が*であるがUser TypeをAttorneyを選べば問題ない。

　登録の途中でクレジットカード情報の登録画面があるが、一部有料情報を利用しない限り登録は不要である。そのまま次に進んでよい。登録が終わるとメールアドレス宛に「Account Number」、「Usrname」、「Account Balance」等の通知が届くが、7～10営業日以内にPACERからU.S.PSTAGEでactive化通知が届いたら、その中の”authentication token”を入力したら判決文等のログインが初めて可能となる。

(筆者注3) 起訴状には被害者の1人として”intergovernmental organisation headquarted in new York”と書いてあるのみである。しかし、英国のmedia "The Register"が記事で書いているとおり、国連を意味するようである。

(筆者注4) キャシャーズ・チェック(cashier's check)は”personal check”とは別物で、実際に銀行に出向いて、その支払い額がきちんと口座に入っていることを前提(銀行の係員が確認して発行)とする小切手の作成方法です。

下記見本はKeisuke Takemoto氏のブログ(https://intercom.help/mkt-homes/en/articles/2637961-cashier-s-check%E3%81%A8%E3%81%AF%E4%BD%95%E3%81%A7%E3%81%99%E3%81%8B)から引用

　例えば車とかで100万を超える買い物をする時に、personal checkをもらったけど口座にその金額が入っていなかった、というリスクを回避できるので、大金(1,000ドル)の支払いの場合はcashier's checkを求められる場合が多いです。

cashier's checkを作るためには直接銀行にいく必要があります。

銀行員にcashier's checkを作りたいというと紙をもらえるので、そこに自分の名前、支払う相手の名前、日付、金額(小数点以下ももしあれば記入)、

金額を横文字で記入したもの($100だったら、 one thousand dollarsと記入)、自分のサインを記入します。

それと合わせて自分のIDと銀行のacount numberを提示すると、銀行員がそれを確認して正式なcashier's checkを発行してくれます。一つは自分の控え、もう一つは支払い先に渡すチェックです。（ブログから一部抜粋）。

(筆者注5) 監督付釈放Supervised Release)につき米国の連邦では1984年の量刑改革法によってパロールが廃止され，量刑ガイドラインによる定期刑制度が実施されており，連邦の監督付釈放は，拘禁期間とは別に量刑の際に定められる裁判所の決定に基づく釈放後の社会内処遇である。

・監督付釈放の一条件として，一部対象者に，中間処遇施設における処遇を実

施する代わりの措置として，外出禁止等の管理目的で電子監視機器による位置

情報等確認が行われることがある。法務省・寺村堅志「6. 米国」(法務総合研究所研究部報告44号163頁以下)(http://www.moj.go.jp/content/000098494.pdf)から一部抜粋。

量刑ガイドラインUSSC  5F1.1.は、「社会内拘禁(Community Confinement)は、保護観察又は仮釈放(supervised release)の条件として課すことができる。」と規定する。

連邦法典 18 編 3624 条(c)(18 U.S. Code § 3624 - Release of a prisoner

 「矯正局は、その実行が可能である限り、6 月を超えない範囲で、拘禁刑の刑期の最後の 10％にあたる期間の相当な部分を、受刑者が地域社会への復帰に適応し、それに備える相当な機会を与える環境の下で、処遇しなければならない。」（1990 年改正により追加。全受刑者に適用される）

 さらに、連邦規則（CFR） 28 編 570.20 条及び 570.21 条を参照。 (「社会奉仕を義務付ける制度等に関する報告（アメリカ合衆国）」～一部抜粋)

　なお、各リンクは筆者の責任で行った。

(筆者注6) スレッドとは、メールが件名ごとにグループ分けされている表示方法をいう。

1つのメールに対する返信や転送など、関連するメールのやりとりが1つのスレッドとしてまとめられる。スレッド機能が有効になっていると、同じ話題に関するメールのやり取りを1つのスレッドにまとめて表示することになる。

**********************************************************************************:

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　　　　　  Civilian Watchdog in Japan & Financial and Social System of Information Security　代表　                                                                                                   　　　 

**********************************************************************************************************************

Copyright©2006-2021芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.

 

 

 

 

FBIが2020年インターネット犯罪報告書を発表

　2021年4月9日に公表されたFBIアラスカ州アンカレッジ地方事務所内の「インターネット犯罪苦情センター(Internet Crime Complaint Center：IC3)」レポートは、被害者から苦情報告された詐欺の増加を示すとともに、FBIは、関係者に対しオンライン安全慣行を強く要請した。

　今回のブログは、その概要を報告するとともに、先最近時に急増してい.る「ビジネスメール詐欺(Busiess E-mail Compromise scams：BEC)」、「Emailアカウントなり代り詐欺(Email Account Compromise：EAC)」および「技術サポート詐欺(tech support scams)」などの最新動向を概観する。

１．報告書の概要

　2021年4月9日、FBIアンカレッジ事務所内(AK-FBI)の「インターネット犯罪苦情センター(Internet Crime Complaint Center：IC3)(https://www.ic3.gov/)は、インターネット犯罪の疑いのある791,790件の苦情(2019年比で30万件以上の件数増加)からの情報を含む「2020年次犯罪報告書」を発表し、42億ドル(約3270億円)を超える損失を報告した。特に、 2020 COVID-19 パンデミックを悪用する詐欺の出現を見た”IC3”はCOVID-19に関連する28,500件以上の苦情を受けとったが、詐欺師は企業と個人の両方を標的にした。

　アラスカ州における州ベースの報告書では、アラスカ州の2,300人近くの犠牲者がIC3にインターネット犯罪の疑いをもって苦情を申し立て、600万ドル(約65,400万円)を超える損が報告され、アラスカ州の高齢者を極めて重大な影響を与えた。アラスカ州では、被害者によって報告された犯罪の上位3種は、知的財産権や著作権(IPR/copyright )等偽造詐欺・ゆすり(extortion,)詐欺、未配達詐欺/代金不払詐欺(non-payment/non-delivery scams)であった。しかし、被害者はビジネスメール詐欺(Busiess E-mail Compromise scams：BEC) (筆者注1) (筆者ブログ参照)、国際ロマンス詐欺、技術サポート詐欺(tech support scams)(筆者注2)に最も多くの資金を失った。報告書でこれらの詐欺は次の通り記述している。

(1) IPR/著作権および偽造詐欺

公衆の健康や安全を脅かす企業秘密や偽造品の盗難に関する詐欺である。

(2) 強要:詐欺

脅迫または不当な権限行使によるお金や財産の違法な要求する行為。身体的危害、刑事訴追、公衆の暴露などの脅威が含まれる場合がある。

(3) 未配達詐欺/代金不払詐欺

　代金不払詐欺の状況では、商品やサービスは出荷されますが、支払いは行われない。未配送詐欺の状況では、支払金いが送信されるが、商品やサービスは提供されない。

(4)ビジネスメールの違法侵害/電子メールアカウントの違法な侵害

　BECは、定期的に電信送金の支払いを行う外国のサプライヤーや企業と協力して(個人ではない)企業をターゲットに詐欺である。”Email Account Compromise：EAC(筆者注3)は、個人をターゲットにした同様の詐欺である。これらの手の込んだ詐欺は、不正な資金の移転を行うためにソーシャル・エンジニアリングやコンピュータ侵入技術を通じて電子メールアカウントを侵害詐欺師によって行われている。

(5) 国際ロマンス詐欺

　ほとんどの場合、ソーシャルメディアや出会い系サイトを通じて、被害者は彼らが関係(家族、フレンドリー、またはロマンチック)であると信じており、加害者に送金、個人的、金融取引情報、または価値のあるアイテムを送ったり、加害者を助けるために資金やアイテムをロンダリングするためにだまされる。

(6)技術サポート詐欺

  犯罪者は、技術サポートの代表者としてポーズをとり、存在しないコンピュータの問題を修正することを申し出て、.詐欺師は、被害者のデバイスや機密情報へのリモート・アクセスを取得する。

　一般的にみて詐欺計画の被害者から身を守るためには、認識できない架電番号からの電話に応答することに注意されたい。個人的に知らない人に金銭やギフトカードを送らないでほしい。また、電話や知らない個人に個人を特定できる個人情報を提供しないでください。

　政府機関を名乗るなりすまし詐欺のような一部のスキームでは、犯罪者はなりすまし番号から呼び出す政府職員としてのポーズをとり、資金、ギフトカードまたは個人識別情報を取得することに同意しない限り、被害者を逮捕または起訴すると脅す。これらの呼び出しは不正・違法行為である。非合法的な法執行官は、一般の人々からの支払い、ギフトカード、または個人を特定できる個人情報を要求する一方的な電話をかけるのである。

２．まとめ

　FBIは、犯罪インターネット活動の疑いがある場合、”ic3.gov”の”IC3”に直ちに報告するよう国民に覚えてほしいと考えている。インターネット犯罪被害を報告することで、被害者は法執行機関に活動を警告するだけでなく、サイバー犯罪との全体的な戦いを支援していることになる。

３．その他の追加関連リンク情報:

①「2020インターネット犯罪報告書(pdf 全 30頁)」

②「2020年の州別インターネット犯罪カテゴリー別レポート」

③FBIの解説サイト「一般的な詐欺と犯罪」

④ FBIの解説サイト「詐欺と安全、一般的な高齢者詐欺スキーム」

**********************************************************************

(筆者注1) 通称BEC（Business E-mail Compromise）は、現在世界で最も警戒されているサイバー攻撃の一つとして対策が必要なものである。BECはそうしたビジネスメールの「隙間」に入り込んで、取引先の経営者や営業担当者等を装って金銭をだまし取るというタイプのサイバー攻撃です。

　それでは、ビジネスメール詐欺（BEC）と標的型攻撃とは何が違うのでしょうか？

ここであらためて標的型攻撃に関しておさらいしておきましょう。標的型攻撃は不特定多数の人に向けて、マルウェアに感染した電子メールを送信するような無差別攻撃ではなく、特定のターゲットを決めた上でマルウェアに感染した電子メールを送信し、添付されたファイルを巧みに実行させるというサイバー攻撃です。高度な標的型攻撃ではターゲットの身辺調査や業界特有の商習慣等を十分に理解した上で電子メールを送信するため、人々は信用しきってしまい騙されるため、防御が非常に難しいサイバー攻撃としても知られています。標的型攻撃の目的は「情報の搾取」です。

　BECが標的型攻撃と違う点はまず、ターゲットと実際の取引先がやり取りしている電子メールに介入するということです。攻撃者はあらゆる手を尽くしてターゲットと取引先の電子メールを傍受し、ここだというタイミングを伺います。そのタイミングが訪れたら取引先に成りすまして電子メールを送信し、攻撃者が持つ口座に送金させようとします。そのため一見して第三者からの不正な電子メールだと気づくことは困難です。

もう1つの違いは直接的な金銭搾取を目的にしていることです。多くの場合、標的型攻撃の目標は情報搾取ですが、BECは不正送金を促します。個人情報流出による被害はありませんが、莫大な不正送金額になることもあるため甚大な被害をもたらします。以下略す。

㈱ネットワークバリューコンポネンツ「ビジネスメール詐欺(BEC)って何？」

から一部抜粋。なお、このブログはわが国のBEC被害の現状や具体的対応策についても言及している。

また、proofpointの「ビジネスメール詐欺（BEC）」も防御策につき詳しく解説している。

　また、FBIの”Business Email Compromise ”は、タイムラインに即して図解入りでより詳細に手口や防御方法等について解説している。

　この問題は、金融機関であるStandard Chartered Bankも”The high cpst of business email compromise (BEC) fraud”サイトで強い関心とその対策などにつき詳しく警告している。

(筆者注2)「テクニカル サポート詐欺との戦い」(Microsoftの翻訳解説)や米国連邦取引委員会(FTC)消費者情報局”How to Spot, Avoid and Report Tech Support Scams”が図解入りで手口や被害阻止策等を詳しく解説している。

(筆者注3) 誰かになりすましてメールを送信するビジネスメール詐欺 (BEC / Business Email Compromise) であれ、実際の誰かのアカウントを使ってなり代わってメールを送信するメールアカウント侵害 (EAC / Email Account Compromise) であれ、攻撃者はアイデンティティの詐称を利用しています。ビジネスメール詐欺 (BEC) は、被害者に金銭や個人情報を組織の外に送るように要求します。攻撃者は、CEOや財務担当副社長などの権限を持つ人物になりすますことでこれを行います。(proofpointの解説から一部抜粋)。

***********************************************************************************

【DONATE(ご寄付)のお願い】

本ブログの継続維持のため読者各位のご協力をお願いいたします。特に寄付いただいた方で希望される方があれば、今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中でございます。 

◆みずほ銀行　船橋支店(店番号　282)

◆普通預金　１６３１３０８

◆アシダ　マサル 

◆メールアドレス：mashida9.jp@gmail.com

【本ブログのブログとしての特性】

１．100%原データに基づく翻訳と内容に即した権威にこだわらない正確な訳語づくり。

２．本ブログで取り下げてきたテーマ、内容はすべて電子書籍も含め公表時から即内容の陳腐化が始まるものである。筆者は本ブログの閲覧されるテーマを毎日フォローしているが、10年以上前のブログの閲覧も毎日発生している。

このため、その内容のチェックを含め完全なリンクのチェック、確保に努めてきた。

３．上記2.のメンテナンス作業につき従来から約4人態勢で当たってきた。すなわち、海外の主要メディア、主要大学(ロースクールを含む)および関係機関、シンクタンク、主要国の国家機関(連邦、州など)、EU機関や加盟国の国家機関、情報保護監督機関、消費者保護機関、大手ローファーム、サイバーセキュリテイ機関、人権擁護団体等を毎日仕分け後、翻訳分担などを行い、最終的にアップ時に責任者が最終チェックする作業過程を毎日行ってきた。

　このような経験を踏まえデータの入手日から最短で1～2日以内にアップすることが可能となった。

　なお、海外のメディアを読まれている読者は気がつかれていると思うが、特に米国メディアは大多数が有料読者以外に情報を出さず、それに依存するわが国メデイアの情報の内容の薄さが気になる。

　本ブログは、上記のように公的機関等から直接受信による取材→解析・補足作業→リンク・翻訳作業→ブログの公開(著作権問題もクリアー)が行える「わが国の唯一の海外情報専門ブログ」を目指す。

４．他にない本ブログの特性：すべて直接、登録先機関などからデータを受信し、その解析を踏まえ掲載の採否などを行ってきた。また法令などの引用にあたっては必ずリンクを張るなど精度の高い正確な内容の確保に努めた。

　その結果として、閲覧者は海外に勤務したり居住する日本人からも期待されており、一方、これらのブログの内容につき著作権等の観点から注文が付いたことは約15年間の経験から見て皆無であった。この点は今後とも継続させたい。

他方、原データの文法ミス、ミススペリングなどを指摘して感謝されることも多々あった。

５．内外の読者数、閲覧画面数の急増に伴うブログ数の拡大を図りたい。特に寄付いただいた方で希望される方があれば今後公開する筆者のメールアドレス宛にご連絡いただければ個別に対応することも検討中である。

【有料会員制の検討】

関係者のアドバイスも受け会員制の比較検討を行っている。移行後はこれまでの全データを移管する予定であるが、まとまるまでは読者の支援に期待したい。

　　　　　　　　　　　　　　                                          Civilian Watchdog in Japan & Financial and Social System of Information Security　代表

*******************************************************************************************

Copyright © 2006-2021 芦田勝(Masaru Ashida)．All rights reserved. You may display or print the content for your use only. You may not sell publish, distribute, re-transmit or otherwise provide access to the content of this document.