スカイスナッグ・ブログ
この4年間で、情報セキュリティ・コミュニティは、ビジネスメール詐欺(BEC)と、それを主力とするナイジェリアのサイバー犯罪組織の内情について多くのことを学んだ。
私たちは、BEC詐欺が全米50州および世界177カ国で報告されていることを知っています。2016年6月以降、BECの結果として260億ドル以上が失われていることも知っています。しかし、このレベルであっても、ビジネスメール侵害の背後にいる悪質な行為者が企業や個人に与えた損害のほんの表面をなぞったに過ぎないかもしれないことも分かっています。
というのも、BECの背後には、恋愛詐欺、在宅ワーク詐欺、宝くじ詐欺から、電信詐欺、口座乗っ取り(ATO)、給与横流し詐欺、W2詐欺など、無数の犯罪が存在することが分かってきているからだ。
BECや関連する419スキーム(ナイジェリア刑法419条にちなんで命名された)を追跡する場合、多くの異なる慎重な悪質行為がひとまとめにされることが多い。結局のところ、特定のマルウェアファミリーを使用した犯罪を追跡するほど、その境界線が明確であることは稀なのです。
それでも、ビジネスメールの漏洩による260億ドルの損失は、本当に大きな数字ですよね?しかし、これらの損失を、業界が直面している他の脅威と比較することで、文脈を整理することが重要です。これからご覧になるように、私たちが知っていることは十分に恐ろしいことです。しかし、まだ分かっていないことがあるからこそ、私は夜も眠れないのです。
BECの損失:財務省の予想の2倍以上?
基本的なことから始めよう。米財務省の金融犯罪取締ネットワーク(FinCEN)が発表したデータによると、BECによる被害額は2018年に月間3億ドルを超えたと推定されている。これは年換算で36億ドル以上であり、警戒すべき十分な原因である。
しかし、それは楽観的な見方にも見える。疑わしい活動報告(SAR)が100%FinCENとFBIのインターネット犯罪苦情センターの両方で同期されていると仮定すると、IC3が発表した数字はまったく異なる状況を示している。
IC3によると、2016年6月から2019年7月までの間に、BEC詐欺によって260億ドルが失われた。では、1カ月あたりいくらなのか?
260億ドル÷37カ月=1カ月当たり7億200万ドルのBEC損失
1日あたり2300万ドル、1時間あたり975,975.98ドル、1分あたり16,266.27ドルがBECによって失われていることになる。少し考えてみてほしい。
セキュリティ研究者は、ドラマを増幅させるために数字を誇張するマーケティングチームを非難するのが好きだ。しかしこの場合、260億ドルは誇張されていない。それどころか、見積もりでもなんでもない。1ドル1ドルが被害者に結びついている。そして、その金額の一部は取り戻しに成功しているかもしれないが、それでもなお、BECに対するビジネス界の総暴露額(IC3用語で言うところの「暴露されたドル」)を表している。
260億ドルを考える
260億ドルは小銭ではない。フォーチュン500社に匹敵し、今年のランキングではクラフト・ハインツとほぼ同じ115位で、モンデリーズ・インターナショナルとUSバンコープのすぐ上に位置している。国であれば、GDPで世界の経済大国トップ30に入るだろう。
AIGによれば、ランサムウェアがより多くの見出しを飾る一方で、BECは今やEMEAにおけるサイバー保険請求のトップドライバーであり、全請求額の24%を占めている。AIGによれば、BECは保険金請求全体の24%を占めている。
BECは、少なくとも月に7億200万ドルの損失をもたらしていることが分かっています。次の式を使って、他のキャンペーンによる損失を、BECが同じ損害を与えるのにかかる日数に換算することができます。
(キャンペーンによるドル建て損失額 ÷7億200万ドル)×30日=日数
この数字が、さまざまな形態のマルウェア攻撃による金銭的損害とどのように比較されるのか、他のベンチマークとともに見てみよう。その結果、見出しを飾るような劇的な攻撃は、成功したBEC詐欺がわずか数日で発生させる損失額と同額を生み出すのに何年もかかることが判明した。
キャンペーンまたはオブジェクト | 稼働時間 | 確認された損害総額 | BECが同じダメージを与えるのに要する日数 |
ゲームオーバー・ゼウス | 2年 | 億ドル | 4.2日 |
ワナクライ | 「損害賠償額は40億ドルに達する可能性 | 171.4日 | |
ガンドクラブ | 1年 | 3億ドル | 12.9日 |
ノットペティア | 12億ドル | 51.4日 | |
ソニー攻撃 | 3500万ドル | 1.5日 | |
ゴズニム | ~3年 | 億ドル | 4.3日 |
カーボンブラック買収 | 21億ドル | 89.7日 | |
テスラ・モデルS | $114,990 | 425秒 | |
平均年間給与(ナイジェリア | 1年 | $15,463.68 USD | 1分未満 |
平均年間給与(米国 | 1年 | $56,516 | 4分未満 |
なぜ未知数を認めると不安になるのか
サイバー犯罪による金銭的損失だけでなく、人的被害もある。病院を襲ったランサムウェア攻撃は、人命の損失を含む悲惨な結果をもたらす可能性がある。しかし、電子メール詐欺も同様に致命的な被害をもたらす可能性がある。例えば、電子メールを使ったロマンス詐欺の被害者の自殺は、それが引き起こす精神的混乱のおかげで、孤立した出来事とは言い難い。すべては、被害者の人生に欠けている愛と愛情を提供するオンライン上のミスターまたはミセス・ワングのせいなのです。
ここからが未知の世界だ。2017年には合計15,000件、2018年にはさらに18,000件のロマンス詐欺が確認されているが、この種の詐欺に引っかかる社会的スティグマがあるため、報告されないケースの方が多い。いったいどれだけの被害者がいるのだろうか?
一つの詐欺、関連する犯罪の網
この4年間で、多くの詐欺師がロマンス詐欺で盗んだアカウントを活用してBEC攻撃を仕掛けていることがわかりました。実際、BEC犯罪組織「スキャッタード・カナリア」を調査する過程で、BECとその他の無数のサイバー犯罪活動との間に、これまで知られていなかったつながりがあることを発見した。260億ドルの損失はすでに大混乱に陥っているので、さらにいくつかの質問でゴミ箱の火にガソリンを注いでみよう。宝くじ詐欺の被害者は何人いるのか?どれだけのフィッシングされたログイン認証情報が気づかれずに放置され、今後のVEC(Vendor Email Compromise)スキームやその他の攻撃で悪用される準備が整っているのだろうか?
BEC行為者は、報告されなかったり追跡されなかったりしたW2詐欺を何件行ってきたのだろうか?このような攻撃やその他の攻撃で盗まれた情報が、他の電子メール詐欺ゲームで使用するために電子メールアカウントを乗っ取るために使用されるのを、どれだけの人々が見てきたのでしょうか?どれだけの学生や苦学生が、知らず知らずのうちに在宅勤務詐欺に勧誘され、偽の小切手をさらに多くの被害者に送るよう命じられてきたか。どれだけのBEC事件が隠蔽され、ビジネスのコストとして処理されてきたのだろうか?
私たちが知っているからこそできる疑問のほんの一部だとしたら、知らないことについてはどうだろう?そう、BECの既知の被害額260億ドルは恐ろしい。しかし、分かっていないことは絶対に恐ろしい。