サイバーセキュリティはじめました

ハニーポット(T-POT)の検証や攻撃の実験など、サイバーセキュリティに関して少しずつ勉強しています。

【攻撃の予想】 JALの振り込め詐欺を考えてみる

考察

平成29年12月20日、JALが3億8千万円の振り込め詐欺にあったとのニュースが報道されました。

サイバーセキュリティの観点から、この事件がどういったものだったのか、考察してみたいと思います。

 

 

当事件のタイムラインは、piyokango氏のpiyologに詳しくまとめられています。

http://d.hatena.ne.jp/Kango/

 

私がこのニュースで気になったのは、以下の2点です。

①どうやって、JALという大企業に振り込め詐欺を働くことができたのか。

②この手口はヒューマンエラーなのか。

この点について、重点的に検討してみたいと思います。

 

まず、①どうやって、JALという大企業に振り込め詐欺を働くことができたのか。という点についてです。

※以下、平成29年12月21日時点の私見となりますので、今後の報道によって真実が判明した際に、内容が誤っている可能性がありますのでご了承ください。

 

今回の事件は、2つの振り込め詐欺がありました。

 

1件目 日本航空米国支店航空貨物事業所(地上業務の委託料)

 

手口:偽のメールで、振込先を「香港の銀行に開設された口座」に変更させ、偽口座に振り込ませた。

 

報道で判明している事実

 ①メールで振込先の口座変更を伝えられる。(普段のメールアドレスとは異なるアドレス)

 ②JALの担当者が不振に思い、CCに本来の取引先のアドレスを加えたうえで、確認のメールを送信する。

 ③本来の取引先のアドレスから「口座変更は本当だ」との返信が来たため信用する。

 

【仮説】

報道から推測すると、攻撃者は、日本航空米国支店航空貨物事業所と取引先が「取引関係にあったことを知っていた」と推測できます。

気になるのは、①のメールアドレスが普段のメールアドレスとは異なるアドレスを使用していたという点です。

単純に間違ったのか、本当はアドレスを知っていたが使うのを忘れていただけなのかという点によって、事前準備がどこまで行われていたのかが大きく変わってくると思います。私は、「本当はアドレスを知っていたが使うのを忘れていた」のではないかと思います。

その根拠としては、③で本来の取引先のアドレスから返信が来たとありますが、もし、準備を行っておらず、②のCCからアドレスを知ったのであれば、攻撃者の③の返信以降に「本当の取引先から誤ってる旨のメールが入る」はずです。それがなかったということは、本来の取引先に、JALからの②のメールが届いていなかったものと考えられます。

つまり、JAL側、もしくは取引先側のメールが、攻撃者によって搾取されていたのではないかと予想します。

 

 

 

2件目 日本航空本社 財務担当部署(旅客機のリース料の請求)

 

手口:メールで、振込先を「香港の銀行に開設された口座」に変更した本物そっくりとの請求書を「訂正版」として送り付け、リース料金を振り込ませた。

 

報道で判明している事実

 ①正規の取引先から、メールで請求書が届く。

 ②同一の担当者になりすましたメールで請求書(訂正版)が届く。

   (送信元は、通常やり取りしている取引先の名前とメールアドレスであった)。

 ③偽の請求書は、実物に酷似しており、サインもされていたため、本物と誤認した。

 ④リース機の支払であるため、確認よりも支払を優先した。

 

【仮説】

この報道から推測すると、攻撃者は、おそらく数週間から1か月以上かけてJALのメールを盗聴し、攻撃の機会をうかがっていたと考えられます。この2件の攻撃は、たぶん同一人物もしくは同一組織で、1件目に軽くけん制を行い、攻撃が通じたため本番の攻撃を仕掛けてきたと予想しています。

今回は、1件目とは違い、送信元を偽装しています。しかし、どうやらヘッダー部分までの加工はしていないようですので、注意深く確認しておけば防げたのかもしれません。

しかし、請求書(訂正版)が非常に精巧に作られていたようで、おそらく担当者も、これを見て問題ないと判断したのではないでしょうか。つまり、攻撃者は、この請求書を入手し、精巧に加工するだけの時間、事前準備を行っていたということだと思います。この請求書はPDFで送信されてきたとのことですので、一部分は本物の請求書を使用しているのではないでしょうか。

これができるということは、単純にビジネスメール詐欺のためのメール送信の他にも、メールサーバへの侵入、もしくは、メールの盗聴が行われていたという結論に至ります。1件目の仮説に書いた、取引先へのメールが届いていないという点も併せて考えると、JALのメールサーバが、すでに攻撃を受け続けている(もしかすると、現在も受け続けている)可能性が高いように思えます。

 

 

次に、この2件のビジネスメール詐欺(メールによる詐欺であるため、振り込め詐欺からビジネスメール詐欺に変更)は、ヒューマンエラーだったのでしょうか。

 

私は、この2件は、いずれもヒューマンエラーではなかったと思います。

1件目は、不審に思った担当者が取引先に確認を行っています。この時点で、正規の取引先にメールが届いておらず、攻撃者にメールが届いていると判断するのは、非常に難しいでしょう。また、返信メールに「誤ってプライベート用のアドレスから送信してしまいました」というように、メールアドレスを誤った理由が記載されていたとするならば、ほとんどの方は信用するのではないでしょうか。

2件目は、非常に精巧に作られた請求書が信用してしまうポイントでした。実際の現物を見たわけではないので、どれだけ似ていたかは判別がつきませんが、普段見慣れている担当者が見誤ってしまうくらいであれば、相当似ているのでしょう。

こちらも、担当者レベルでおかしいことに気づく方が難しいのではないでしょうか。

 

 

まとめとして、今回のJALの事件について、単なるヒューマンエラーではなく、非常に用意周到なサイバー攻撃がおこなれていたと私は予測しています。