全形態
[スレッド一覧]
[返信投稿]
[▼下に]
1 vogeee◆iI5aKirs52 2016-04-21 17:14:28
全形態
2 vogeee◆iI5aKirs52 2016-04-23 00:51:13
今日の標的型メール詐欺と戦う1
Eメールフィッシングはかつてよりはるかに洗練されていて、あなたも陥れられうるほどのものだ
たとえばこういったメールが届いたとしよう。「我々はあなたの子供を誘拐した。我々が本当のことを語っているのを確かめたくば、子供の携帯に電話をかけるとよろしい。あなたの子供を取り返すには、1時間以内に1万ドルを送る必要がある。我々は個別のメールで指示を送る。誰にも話してはならない、さもなくば。」
ひょっとするとあなたは電話を取り出して子供を呼び出そうとするかもしれない。見知らぬ者が「我々は子供を預かっている」と返事したときの背筋の凍りつきを想像してほしい。
しかしこれはとても単純な詐欺だ。遂行するにはただ2つのことが求められる。あなたのEメールアドレスとあなたの子供の電話番号と結びつけられたオンラインアカウントのパスワードだ。その情報を手にすれば、詐欺師はあなたの子供の電話番号への発信を詐欺師自身のプリペイド電話へと転送することができる。詐欺師はあなたの子供の携帯を持っている必要はないし、あなたと子供がどこの国にいるかすら知る必要はない。
この恐ろしげな筋書きは標的型詐欺の力を描き出しているし、もし手口が十分に狡猾であれば誰しもがその手に落ちうることを示唆している。詐欺師があなたについてちょっとした情報を得るために必要なすべてのものとは、あなたがとても注意深くあってさえ得られてしまうものなのだ。なぜならあなたのデータを所持している多くの企業がそれに注意を払っていないからだ。
こういった詐欺は20通あたり1の対象を得るに過ぎない古典的「ナイジェリア王子詐欺」とはまったく異なっている。この種の詐欺師はもっとも繊細な潜在的被害者からのみ返信を得ようとする単純な目的で、しばしばナイジェリアとの関連をはっきりと述べたものだ。このふるい分けによって最終的に詐欺だと気づきそうな潜在的被害者との実りなき交流が避けられたのだ。しかしながら、詐欺師はそこに金があるからという理由で、さらに洗練された被害者にますます注意を寄せるようになってきている。
もっとも磨き上げられた騙しの一つが「商用メール漏洩詐欺(BEC)」で、また「CEO詐欺」や「捕鯨」とも言及される。この計略は、そうと気づかない社員との連携によって、企業から何百万ドルもの金を得るために用いられてきている。その泥棒は典型的には最高経営責任者など信頼された相手方のふりをして、そして見たところもっともらしい理由をつけて鍵となる社員に金を送るよう頼む。「我々は極秘に買収を行った。今日の営業が終わるまでに資金の転送が必要だ。証券取引委員会の規則に従ってまだ内密であるから、誰とも話し合わないで欲しい。」
私たちはこういった陰険な詐欺を打ち負かす道筋を得た。人間の専門家がする判断を模擬するプログラムを用いるのだ。最良のセキュリティ対策は、自動で働くため定期的な警戒を必要としないというものだ。そこで私たちは、人ができないことをし、一方で従うよう言われるがしばしば人は無視するインターネット「衛生」規則を実行する専門システムを開発した。そのシステムは、物語の筋の検知と言語分析を含む新たな検知手法を用いている。すっかり暴露しよう。私たちはカリフォルニア州ポートラバレーにてZapFraudという企業を立ち上げ、このソフトウェアを販売し、そして標的型メール詐欺を打ち負かすことに焦点を合わせている。
3 vogeee◆iI5aKirs52 2016-04-24 00:58:31
今日の標的型メール詐欺と戦う2
FBIとインターネット犯罪申立てセンターが作成した2014年度のインターネット犯罪報告書によると、50歳代の年齢層がメール詐欺にもっとも狙われている。男性は特に乗り物詐欺に陥りやすい。たとえば偽の売人から車を買ったり偽造銀行小切手で支払ってくる詐欺師に車を売ってしまったりだ。この詐欺にかかった20歳代の男性は、平均して1件あたり2000ドルを失うが、60歳以上の男性はその2倍以上の額を失う。女性については、主な詐欺はハンサムで名声を得た男性(もちろん決して現れない)との関係を築くきっかけが絡むもので、60歳代の女性の平均損失額は1件あたり2万7千ドルを超える。
しかしそういった数字は問題をかなり過小評価している。というのもほとんどの詐欺は決して通報されないからだ。被害者は概してあまりに恥ずかしかったり、諦めたり、抑うつになったりして敵対者を追いかけられないのだ。そして警察に届け出ようとする動機がない。それはつまり保険が詐欺の損失をカバーしないということで、なぜなら一見被害者に思える人物自身が詐欺師であるというリスクがあまりに高いからだ。多くの場合、技術面でのスキル不足と管轄がはっきりしないことから、警察はインターネット犯罪に取り組む能力に欠いている。たとえば、あなたがロンドンに住んでいてシカゴにいる詐欺師があなたのクレジットカードを使ってマイアミのオンライン商人からある製品をナイジェリアに発送したとしよう。どの警察機関に連絡すべきだろうか?
個人の被害者だけではない。企業も標的にされることが増えてきている。FBIは2015年の初めからで、商用メール漏洩の通報事案が270パーセント増加して数百万ドルが失われたと報告している。個人向け犯罪と同様に、詐欺にあった企業の実際の数もおそらくはもっと大きいだろう。企業を対象にする詐欺は私たち全体に害をなす。なぜならそういった漏洩は被害企業の顧客からの大量データとして現れるからだ(そしてまた顧客へ転嫁されることになる不可避の出費が生じる)。ホームデポと健康保険企業Anthemが2014年と2015年に漏洩したとき、メールアドレスを含んだ数千万のアメリカ人の個人データが盗まれた。ハッカーがアクセスした文脈情報は、盗まれたメールアドレスをはるかに価値あるものにする。そのアドレスが自動的に標的攻撃を作り出すことになるからだ。そして詐欺師の利益を増やすことにより、いずれの成功も詐欺師がさらなる詐取を行うのに用いる調査基盤となるのだ。
スパムフィルターは標的型攻撃には無力だ。古典的なスパムは、極めて低い反応率を補うためのすさまじい量のEメールに依存している。その大量メールには通例送信者が売りたいものに応じて「バイアグラ」や「ロレックス」などの共通キーワードが含まれている。結果として、普通メールサービス業者によって設置されたスパムフィルターは、尋常でない多数のメッセージを送信するメールアカウントを特定し、そして共通キーワードを探す(たとえば「バイアクラ」や「バ・イ・ア・グ・ラ」など少し変形したものも同様に)。スパムフィルターはまた受取人の反応も指標として用いる。多くの受取人がある特定送信者からのメールをスパムフォルダに移したか? メールに答えないままにしているか? しかし標的型詐欺はみたところ本当らしいメールであり普通スパムフィルターを通過するため、そういった仕組みを迂回する。また、被害者は標的型詐欺にはるかに引っかかりやすい。
標的型詐欺が特定キーワードを軸に展開することはめったにない。そのかわりにころころ公式の変わるちょっとした物語の筋書きに依存している。この文学性のため、そのメール文が向こう側にいるスパムフィルターと人間の両方をより信じさせるのだ。それゆえ、そういった犯罪メール文は少しの量だけ送っても高い成功率を謳歌し、そして少量であることでまた検知されにくくなるのだ。そしていよいよメールサービスプロバイダーがその送信メールアカウントが詐欺師のものだ気づいたら(気づけられれば)、詐欺師は単にそのアカウントを捨てて新しいものを作るだけだ。これはもぐら叩きゲームのようなものだ。
もっともよくできた標的型詐欺は、受信者が知っていて信頼している人のメールアカウントからのメールを用いるものだ。つまり詐欺師はパスワードと名前を推測したり盗んだりしてそういったアカウントにアクセスできるようにする。別の詐欺メール文では送信アドレスが「なりすまし」で、こちらもそのメール文が信頼された相手から送られたように見せかけられている。また別のよくある標的型詐欺は、信頼された関係にあるメールアドレスに見間違うほどよく似せたメールアカウント(たとえばalerts@bankofarnerica.com)から届くものだ。
多くの企業が標的型詐欺に対抗しようと取り組んでいる。たとえばマイクロソフトと情報セキュリティ会社クラウドマークには企業ユーザーを一般メール詐欺ととりわけBEC詐欺から保護する製品がある。しかしながら、そういった企業はほとんどがビッグデータ手法に依存していて、その手法にはよいメール文と詐欺メール文の両方の大量データに人工知能プログラムを違いが認識できるようになるまでトレーニングすることが含まれる。しかしそのようなデータベースを蓄積するには時間がかかるため、そういった手法は詐欺師の戦略変化に反応するのが遅い。
[管理ページ]
もっとき*掲示板