ビジネスメール詐欺: 100万ドルを稼ぐためのコストは?

今月初め、住宅の購入者と売却者のメールアカウントをハッキングし、何百万ドルという金銭を盗み出す外国の犯罪ギャングに関する記事がDaily Mailから発表されました。その詐欺の方法はシンプルです。メールの認証情報を盗み出すためにマルウェアを用い、侵害したメールの中身を研究し、そして集めた情報を使い、なりすましによって被害者の金を巻き上げるというものです。

ビジネスメール詐欺、別名business email compromise(BEC)詐欺は、様々な形で以前から存在していました。過去には、企業やEコマースのユーザー、会社のCEOなどに対して同じ戦法が使われてきました。今回のブログ記事では、なぜビジネスメール詐欺が現在これほど普及しているのかを理解するため、詐欺師の観点から、こうした攻撃を実行する際にかかるコストを見ていこうと思います。

一体なぜ、これほど多く存在するのか?

答えは実に単純です、ビジネスメール詐欺は「安あがり」なのです。サイバー犯罪者がこれらの攻撃を実行するのには、最低でも以下のサービスが必要になります。

  1. リード - 不正スパムを受けることになる標的のメールアドレス
  2. メールボマー - マルウェアを使ってリードに大量メールを送りつけるためにサイバー犯罪者が使用するサービス。これはSimple Mail Transfer Protocol (SMTP)ボム、侵害したサーバーのRemote Desktop Protocol (RDP)、PHPメーラーの形式になっています。
  3. マルウェア - メールの認証情報を盗むのに使われるキーローガー、あるいはRemote Administration Tools (RAT)
  4. Crypter(暗号化ツール) - アンチウイルスによる検知を避けるために、マルウェアのバイナリを難読化するのに使われるサービスあるいはツール
  5. ウェブホスティング - マルウェアが盗み出すデータを受け取るためのコマンド&コントロールサーバーをセットアップするため、サイバー犯罪者が用いるサービス
  6. Virtual Private Network (VPN) - 被害者と同じ場所からアクセスしていると思わせるため、サイバー犯罪者が自身のIPアドレスを偽装できるようにするサービス。これにより、警告を立てられたり、セキュリティ質問を聞かれたりすることなく、侵害したメールアカウントにログインすることができるようになります。
  7. マネーロンダラー - 盗んだお金を受け取り、ロンダリングするための偽の銀行口座を開設する際に詐欺師の手伝いをする人

これらのサービスが揃えば、あとは詐欺師たちが侵害した口座を慎重に監視し、支払金が自分たちの懐へ入るようにするだけです。しかし、これらのサービスには、実際どれくらいのコストがかかるのでしょうか?

以下は、アンダーグラウンドのフォーラムにあった、リードメールボマーの販売広告です。10万個の使用済みのメールリードの価格はたったの20ドル、メールボマーは25ドルで販売されているのがわかります。


図1. アンダーグラウンドフォーラムのリードとメールボマーの広告

実は、特定の標的のメールアドレスも販売されています。例えば、以下の広告では会社幹部のメールアドレスが売られています。


図2. 特定の標的のリード広告

一方、ビジネスメール詐欺の犯人たちは、価格の安い既成のマルウェアを一般的に使用しています。以下の画像は、ビジネスメール詐欺に関わっているサイバー犯罪者のデスクトップです。彼は標的とするメールアドレスの認証情報を盗むため、既成の、クロスプラットフォームのJSocketというJava RATを使用しています。


図3. JSocketを使用している詐欺師のデスクトップのスクリーンショット

JSocket RATの使用に対する会費は比較的安価です。


図4. JSocketのパッケージの価格表

JSocket RATには無料の内蔵型難読化機能が付いています。しかし、RATの中にはデフォルトでこの機能が付いていないものもありますので、アンチウイルス製品に検知されないようにするためにはCrypter が必要になります。以下は、Abyss ProtectというWindows portable executable (PE)のファイルcrypterの価格表です。


図5. Abyss Protect crypterの価格表

また、上の図3を見ると、JSocketクライアントがユーザーにGraphical User Interface (GUI)を提供しているのがわかります。感染させたマシンをコントロールし、盗み出したデータを収集するためです。他のタイプのクライムウェアでは、盗み出した情報を受け取るため、サイバー犯罪者はFile Transfer Protocol (FTP)サイトやメールアカウントをセットアップする必要があります。その場合は、ウェブホスティングサービスが必要になります。

以下は、疑わしいウェブホスティングサービスの価格表のスクリーンショットです。金額はナイジェリアのナイラになっています。これにより、サイバー犯罪者は一時停止することなく不正なコンテンツをホストできるようになります。ビジネスメール詐欺で攻撃を仕掛ける場合、通常、ベーシックなウェブホスティングプランで十分です。


図6. 不正なウェブホスティングサービスの価格表

一方、現在トップのVPNサービスの場合、月々平均10ドルですが、年間サブスクリプションの場合、価格は2.08ドルまで下がります。

計算してみましょう。

上のサービスの価格表をもとに、ビジネスメール詐欺を実行する際に必要な運用面での投資を見積もってみます。


表1. ビジネスメール詐欺の運用コストの計算

表1からわかるように、ビジネスメール詐欺を実行する際の月々の運用コストは、たったの120.36ドル 、年間コストは1000ドル未満です。毎年毎年盗まれる莫大な被害額のことを考えると、安いものですね。過去の報告書で、ビジネスメール詐欺による損害の額は、アメリカ国内の被害者だけで7億4000万ドルを超えるとFBIは見積もっています。

しかし待ってください。詐欺師にとって収入の保証がない詐欺キャンペーンのコストが939.50ドルというのは、大金では? と考える皆さんの気持ちもわかります。

事実、熟練の詐欺師は運用コストを下げるために様々な次善策を用いています。そのいくつかを紹介しましょう。

  • メールアドレスを購入するのではなく、インターネットから集める
  • マルウェアのスパム送信に侵害済みのメールアカウントを使用する
  • 様々な偽IDを使ってウェブホスティングの無料トライアルに申し込む
  • 訳ありや無料のマルウェアやcrypterを使う
  • 無料のVPNサービスを使う

上に挙げたテクニックの場合、サービスの信頼性は低くなり、実行するキャンペーンの有効性も低下しますが、運用コストをゼロにできる可能性もあります。同様に、正しく実行すれば、この仕組みで金銭をうまく巻き上げることもできるのです。

最後に、詐欺師は通常、ハイジャックした支払金を追跡されることなく回収するため、マネーロンダラーのサービスを使用します。money-laundering-as-a-serviceのスキームでは、ロンダラーは自分たちの取り分として、ハイジャックした金銭のなかから、事前に同意した割合を受け取ります。ですから、マネーロンダリングの支払いは通常、詐欺師の運用面の投資には含まれていません。

結論

今回のブログ記事では、ビジネスメール詐欺がなぜ今日このような状況にあり、なぜ今後も長い間なくならないのかを説明するため、別の視点を使ってみました。ビジネスメール詐欺は比較的少ない投資で実行できる、採算性の高い詐欺です。

メールゲートウェイ、侵入防止システム、アンチウイルス製品等を利用した多層防御は、マルウェアによるメールアカウントの侵害の阻止に役立ちます。また、やり取りしている相手を経由して侵害を受ける場合もあります。ですから、金融取引に関わる他の人たちの身元を検証するため、組織も個人も複数の対策を導入するのが重要になります。二者間で使う秘密のパスフレーズや、物理的照合を使うなど、金銭処理に関する厳しいガイドラインを設けるのも一つの案でしょう。

今回の記事で、外部の人と金融取引を行う際、皆さんがさらに慎重になってくれればと思います。サイバー犯罪の時代、悪者たちにしてみれば、100万ドルも高額とは言えない金額なのです。

-=FortiGuard Lion Team=-