メール、相手にとどいてますか？ … ビジネスメール詐欺（BEC）の手口とフリーメールの終わり

こんにちは。

経理の小高です。彩の国ビジネスアリーナの疲れが抜けませんが、今週も金曜日。今日は「メール」についての投稿です。

弊社でサポートさせていただいている「IT」のうち、ほとんどのお客様で「もっとも重要で、もっとも厄介なもの」が「電子メール」です。

 

まず、前置きです。

インターネットの商用利用が認可されたのが1993年。1995年冬にはWindows95で大フィーバーが起こりました。そして、当時から「プロバイダー（ISP）」によって「無料の電子メール」が配られていました。

「ホームページはレンサバで！！」といった時代（ホームページ黎明期）には、レンサバにも「無料の電子メール」が付いてきました。

hot-mailやgmail, yahoo mailといったサービスも大抵が無料でした（IT業界のこのような商習慣は「フリーミアム」と呼ばれていました）。

 

こういった「無料のメール」は、「電子メールという仕組み」を世界の津々浦々まで浸透させるのに大変重要な役割りを果たしたのですが、その一方でスパムメールやフィッシングメール（メール詐欺）といった犯罪を大量発生させることになってしまいました。

 

さて、本題にはいります。

昨年の暮れにJALが電子メールを偽装した詐欺被害にあったと発表しました。耳慣れない言葉ですがBEC（ビジネスメール詐欺：Business E-mail Compromise）と呼ばれています。

Yahoo!ニュースの記事：JALの3.8億円振り込め詐欺に見られるBEC(ビジネスメール詐欺)

 

被害総額は3億6000万円。日経コンピュータの1/4号にもニュースが出てました。仕掛けは以下のように説明されてます。

仕入先からの請求書が電子メールで被害者に送信されます（①=>②=>③）。請求書には振込金額と振込先が記載されています。

犯人は仕入先のメールサーバー（A）か、被害者のメールサーバー（B）を監視していて、請求書を不正に入手します（③’）。そして、請求書をコピーして「偽の請求書」を作成し（④）、仕入先になりすまして送信します（⑤）。このとき、振込先は犯人の口座に変更されています。

被害者は気がつかない、もしくは、支払先口座の変更と信じてしまい、犯人に振込んでしまいます（⑥）。

 

「電子メール」の世界ではこういった事件が次から次へと起こります。

これに対抗して「電子メールの世界」でも（メールサーバーやドメインといったレベルで）セキュリティ対策の標準が定まっています。

たとえば、以下は適切に設定されたメールのメール・ヘッダーの例です。Gmailの「メッセージソースの確認」という機能でみることができます。ちなみに、Googleはこれらに加えてTLSによる暗号化を推奨しています。

 

インターネットの世界では「もっとも頭がいい人たちはGoogleにいる」ので、Googleの施策を中心として標準が決まっていくと考えるのが適切です。

JALが被害にあったBECについて考えると、（JALが一流のメールシステムを利用している＝上のようなルールにJALはひっかからない、であろうことから）仕入先のメールサーバーが犯人に侵入されたのであろうと推測できます。

 

問題なのは、BECのような詐欺が社会問題化すると、こういった事件に関係ないと思っていても、どんどん「面倒なこと」が増えてしまうことです。

たとえば、「メールを送ったんだけど、相手の迷惑メールフィルターに引っかかった（＝相手に見てもらえない）」、「取引先から送られたはずのメールが届かない」といったことが増えてしまいます。

それは、上に書いたような「電子メールの標準ルール」が（詐欺の横行と並行して）どんどん高度化するためです。

振り込め詐欺と同じ理屈ですね。（自分では）振り込め詐欺なんで関係ない、と思ってるんだけど、銀行での手続きはどんどん面倒になっています。

 

銀行で「振込ができなくなる」ということはないと思われますが、利用しているメールシステム次第で「メールが使えなくなる」というのは十分にありえます。

無料のメールは（手間がかけられていませんので）「進化するルールや脆弱性についていけない」と考えるのが適当ですから、「古き良き時代は終わってしまった」と考えるべきです。

 

←「【おしらせ】彩の国ビジネスアリーナ2018が終了しました」前の記事へ　 　次の記事へ「情報更新：【ご注意下さい】Office365メール（ExchangeOnline）の仕様変更（セキュリティ強化）」→