海外における個人情報流出事件とその対応第205回サイバー犯罪のターゲットになる中小企業 (1)相次ぐ不正送金

　8月25日付の『Washington Post』が、東欧のサイバーギャングが、米国の中小企業をターゲットとすることが増えているという、タスクフォースの警告について報じている。その結果、数百万ドル水準での"オンライン犯罪の波"が起こっていて、米国の大手金融機関も警戒しているというものだ。

　同様の記事が『Findlaw.com』などにも記載されている。『Washington Post』の事では、タスクフォースとしか紹介されていないが、他の記事を見ると、約1万5,000件の金融機関を代表する電子決済協会(NACHA-The Electronics Payment Association)による報告書によるもののようだ。

　報告書が送付されたのは、8月21日で、送付先は、Financial Services Information Sharing and Analysis Center(FS-ISAC)のメンバーだ。Webサイトによると、FS-ISACは金融サービスセクターが直面する重大なセキュリティ脅威についての協力のための唯一の業界フォーラムとなっている。

　攻撃が起こったとき、早期警告と専門家のアドバイスで、物理的およびサイバーセキュリティ脅威から重要なシステムや資産を保護することを助けるのが目的だ。American Express、Citigroup、連邦住宅抵当公庫、モルガン・スタンレー、ABNアムロ銀行、Bank of America、連邦準備制度、メリルリンチ、ニューヨーク証券取引所などのメンバーによって運営されている。

　過去6カ月間、金融機関、セキュリティ会社、メディア、法執行機関などが、中小企業に属する有効な金融機関のクレデンシャルの悪用を伴う資金送金詐欺が爆発的に増加していることを報告している。クレデンシャルとは、口座の持ち主の本人確認のために使用する、ユーザ名やパスワードなどだ。FS-ISACメンバーに対して、消費者のクレジットカード不正や金融機関の不正を探知するために使う予防措置を適用することを勧めている。

　ターゲットの規模が小さいため、大きな小売店や政府機関での大規模な侵害は出ていない。しかし、数十万ドルレベルの損失を受けている企業もある。規模の小さい企業にとっては大きな痛手だ。

●30分間に43回、合計120万ドルを送金

　例えば、4月にテキサスの企業、Unique Industrial Product Co.が120万ドルを不正に送金されている。Unique Industrial Product Co.は、配管設備を中心に、スタンピングやコンセントボックスなどの電気材料や石油やガス産業向けの弁をはじめとする材料などの輸入販売を行っている。

　Pankaj Malani業務部長が、フォレンジック分析の結果、コンピュータに仕掛けたマルウェアが30分という短時間に43回の送金を行ったことが分かったと語っていると、事件を報じた『Washington Post』は伝えている。送付先の一部は東欧だが、米国在住者宛にも送金が行われた。

　幸いにも、迅速に探知したため、銀行は不正に送金されたうち、そのほとんどを回収することができた。実際の被害額は19万ドルだ。120万ドルが回収できなかった場合は、倒産にいたっただろうと、Malani業務部長は話している。しかし、120万ドルといえば中小規模の企業にとっては非常に大きな損害だ。逆に攻撃者にとっては30分での収益としてはかなりの額だった。

　7月にはWestern Beaver 学校区が70万ドルの被害を回収するための訴えを起こしている。訴えられたのは、ペンシルベニア州に本社を持つ1915年創業のESB Financial Corpの関連会社のESB Bankだ。

　サイバー犯罪者は、ESB Bankにあった、Western Beaver 学校区の口座から70万ドルを超える金額を不正に取得した。Western Beaver 学校区は、ペンシルベニア州のピッツバーグ近くにある小さな学校区だ。

　事件については、7月14日付『Pittsburgh Post Gazette』が詳しく報道している。Western Beaver 学校区では、ESBが権限のない送金を許したのは契約違反だと訴えているという。

　送金は、学校区の口座から行われていて、被害金額は$704,610.35 だ。そして12月29日と1月2日の2日間に、合計74回、42件の口座などに送金された。

　ESBでは一部については送金処理を完了する前に防ぐことができたが、学校区では合計で$441,197.01の被害を受けている。これは市民が納めた貴重な税金の一部だということで、被害額に加えて、利息分を払戻すことを求めている。

　学校区では2008年7月に8件の口座を開設していて、そのうち給与支払い用の口座が被害を受けた。訴状によると、何者かがウイルスを用いてWestern Beaverのコンピュータシステムにハッキングを行ったという。不正送金についてはWestern Beaverの責任者Rob Postupac からの送金指示だとして、ESBのシステムは処理している。

　ペンシルベニア以外の州にある銀行が、Western Beaverから大金を送金されたことを不審として、連絡したことで事件は発覚した。事件を報じた『Computerworld』の記事では、Robert McMillanが、
・Western Beaverが突然42人の口座を加えている
・送信先にプエルトリコやカリフォルニアなどもあった
・支払い金額が、他のスタッフに比べてずっと多かった
ことから、銀行も警戒すべきだったとしている。

　遡って2月には、ルイジアナのバトンルージュにある電気較正の会社、JM Test Systemsが10万ドル近くを騙し取られている。JM Test Systemsによると、2月19日に4万5,640ドルが、権限なしにロシアにある銀行へ送金された。

　事件の後、銀行はJM Test Systemsに新しいクレデンシャルを発行したが、1週間もしないうちに再び5万1,550ドルが不正に送金された。JM Test Systemsが回収できたのは7,200ドルだけだった。また、回収できた理由は、送金が完了する前に、送金先のアカウントが解約されたためだ。

●財務部長をターゲットにフィッシングメール

　多数の事件で似た手口が使われている。
1. 企業の支払いを統括するコントローラーや財務部長に…

【執筆：バンクーバー新報西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec