メールマガジン

サイバーセキュリティや
ラックに関する情報をお届けします。

テクニカルレポート　|　
2024年3月 1日

社会問題となっている金融犯罪に関するフレームワークを追加した、MITRE ATT＆CK v14を解説

金融犯罪対策センター（FC3）

メルマガ登録する

メルマガ登録する

金融犯罪対策センター（Financial Crime Control Center：以下、FC3）の田中です。

近年、金融サービスを利用する人の資産を直接狙う金融犯罪（クレジットカード不正利用や特殊詐欺、インターネットバンキングの不正送金など）が社会問題になっており、警察当局や金融機関などでは対策を講じているものの、依然として高い水準で被害が発生しています。

2023年の被害状況として、クレジットカード不正利用（番号盗用）の被害額は、1月～9月で376.3億円と2022年同期間の291.1億円を大きく上回り^※1ました。また、特殊詐欺の被害額は、1月～11月で382.4億円と既に2022年1年間の370.8億円を超えている状況^※2です。

※1 一般社団法人日本クレジット協会「クレジットカード不正利用被害の発生状況」

※2 警察庁「令和5年11月末における特殊詐欺認知・検挙状況等について」

さらに、2023年12月25日に警察庁、金融庁が公表した「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）」によると、その被害額は1月～11月で約80.1億円と2022年1年間の15.2億円の5倍以上に激増^※3し、過去最悪の状況となっています。

※3 警察庁、金融庁「フィッシングによるものとみられるインターネットバンキングに係る不正送金被害の急増について（注意喚起）」

そして、金融犯罪は日本のみではなく他国においても増加傾向にあり、サイバーセキュリティのフレームワークとして知られている「MITRE ATT&CK（マイター・アタック）」に金融犯罪に関するフレームワークが追加されていることから、世界的にも金融犯罪が注視されていることが分かります。

本記事では、「MITRE ATT&CK」に新たに追加された金融犯罪に関するフレームワークについて紹介します。

MITRE ATT&CKとは
「ATT&CK」最新バージョンについて
金融犯罪に対抗するために

MITRE ATT&CKとは

まず、MITRE（The MITRE Corporation）は、米国連邦政府が資金提供している非営利組織で、官民のパートナーシップを通じて米国の安全性、安定性、福祉に関する事項に取り組んでおり、その対象分野はAI、データサイエンス、サイバーセキュリティなど多岐にわたります。

そして、ATT&CKとは、攻撃者の使用する戦術とテクニックについてMITRE社が取りまとめているナレッジベースであり、サイバー攻撃の流れと手法を体系化したフレームワークです。ATT&CKはAdversarial Tactics, Techniques, and Common Knowledgeの略で、直訳すると「敵対的な戦術とテクニックおよび共通知識」という意味です。

蓄積された攻撃者の手法が分類・体系化されているため、企業における防御・対応策に活用でき、多くの企業がセキュリティ製品をつくる際に参考にする、主流のサイバーセキュリティのフレームワークとなっています。

また、ATT&CKは継続してアップデートされており、最新版は2023年10月31日にリリースされました。

MITRE ATT&CK「ATT&CK Matrix for Enterprise」 — MITRE ATT&CK（赤枠内は本記事で紹介するフレームワーク。詳細は後述。）
出典 MITRE ATT&CK 「ATT&CK Matrix for Enterprise」

「ATT&CK」最新バージョンについて

最新バージョンのATT&CKは、どのような内容に更新されたのでしょうか。また、更新された内容と関連する、注意が必要な攻撃手口について紹介します。

金融犯罪に関連するフレームワークが追加

これまでのATT&CKでは、企業のデバイスやシステム、ネットワークが直接攻撃されるような手口に対して分析・分類を行っていました。

最新のバージョンでは、攻撃者が被害者の心理を悪用して巧妙に攻撃を仕掛けるような手口なども追加しており、取り扱う攻撃の手口の範囲が拡大しています。

拡大した範囲には、金銭詐取、なりすまし、ボイスフィッシングなど技術的な側面を強く持たない、詐欺行為やソーシャルエンジニアリングの手口が含まれており、これらは金融犯罪に関連する手口と考えられます。

金銭詐取（Financial Theft）

金銭詐取は、攻撃者がランサムウェア（データを不正に暗号化し、データ復元と引き換えに身代金を要求するコンピュータウイルス）への感染やビジネスメール詐欺（Business Email Compromise：BEC）、仮想通貨詐欺（投資詐欺）などで使うソーシャルエンジニアリング、または銀行システムへのハッキングなどを行うことで、標的から金銭を詐取する攻撃を指します。

中でも仮想通貨詐欺（投資詐欺）などの特殊詐欺は、企業を標的とした攻撃ではなく個人を標的とした手口であり、直接個人の資産が詐取されます。

なりすまし（Impersonation）

標的が信頼している個人または組織になりすます攻撃の手口です。

企業に対しては、情報詐取目的のフィッシングや内部へのスピアフィッシング（企業システムへの不正アクセスで企業情報にアクセスしたり、組織内の他ユーザを悪用したりする）などで標的に接触して攻撃を仕掛ける手法で、ビジネスメール詐欺では頻繁にこの手法が用いられます。

個人に対しては、インターネットバンキングの不正送金やクレジットカードの不正利用を目的に、銀行やカード会社になりすましてフィッシングメールなどを送付し、認証情報などを詐取します。

ボイスフィッシング（Phishing for Information: Spearphishing Voice）

攻撃者が電話による音声通話で認証情報などを引き出そうとする手口です。

第三者へのなりすましやソーシャルエンジニアリングなどが頻繁に使用され、攻撃者によって手動で実行されるほか、自動音声によって自動化されることもあります。この攻撃は、攻撃者側から標的に電話をかけるのではなく、標的から攻撃者に電話をかけさせるため、攻撃者自身の電話番号を記載したフィッシングメールを送付する手口も確認されています。

また、攻撃者は使用する電話番号を標的のビジネスパートナーやテクニカルサポートスタッフなど、信頼できる組織の番号に偽装して攻撃を仕掛ける可能性があり、表示されている電話番号が既知の番号であっても注意が必要です。

具体的な攻撃手口

次に、前段で説明した3つの手口に関連する顧客の資産が直接狙われるような攻撃例について解説します。

仮想通貨詐欺（投資詐欺）

仮想通貨詐欺とは、仮想通貨を悪用した不正な取引や投資詐欺のことです。本項では、ソーシャルエンジニアリングの手法を悪用した仮想通貨詐欺について説明します。

犯罪者は、まずSNSやマッチングアプリを使って標的と知り合い、長い期間をかけて信頼関係を築きます。その後、「絶対に儲かる」などと言葉巧みに標的を仮想通貨の投資に誘導して数万円の仮想通貨を購入させ、犯罪者が予め準備しておいた偽の投資サイトに預けるように指示します。

標的側では、仮想通貨の価値が上がり儲かっているように見え、最初は投資した資金を引き出すこともできるため、相手を信じてさらに数百万円など高額の投資をしてしまいます。しかし、その後は投資サイトから資金を引き出すことができなくなり、相手とも連絡が取れず、投資した資金を騙し取られます。

銀行を騙るフィッシング

銀行を騙るフィッシングは、昨今多く確認されている金融犯罪の手口です。

犯罪者は、銀行になりすまして利用者にフィッシングメールを送付し、銀行のインターネットバンキングの偽サイト（フィッシングサイト）に誘導します。そして、利用者からフィッシングサイトに入力したログインIDやパスワードなどの認証情報を詐取して、正規のサイトにアクセスすることで悪用します。

確認されているフィッシングメールやサイトは精巧な作りとなっているものもあり、自分自身で見分けることが困難です。

追加認証を突破するボイスフィッシング

インターネットバンキングにおける不正送金対策として、ログインIDやパスワードに加え、ワンタイムパスワード等を用いた追加認証を行うといった対策が一般的に用いられています。犯罪者は、この追加認証を突破するために音声通信を使用したフィッシング、いわゆるボイスフィッシングを悪用します。

まず、犯罪者は通常のフィッシングなどで予め詐取したログインIDやパスワードを使用して、インターネットバンキングに不正アクセスします。次に振込を実行するタイミングで、銀行員を騙り利用者に電話をかけます。そして、「インターネットバンキングに第三者が不正アクセスしている。不正送金を防ぐために追加認証として発行されているワンタイムパスワードを教えてほしい。」などと指示してワンタイムパスワードを詐取し、不正送金を実行します。

犯罪者は電話で不安を煽るような口調で説明し、利用者を焦らせることで認証情報を詐取します。

ボイスフィッシングを悪用してインターネットバンキングにおける追加認証を突破する攻撃手口例

金融犯罪に対抗するために

ATT&CKに新たに追加された金融犯罪に関するフレームワークと、攻撃手口について説明しました。では、社会問題になっている金融犯罪を減らすためには、どのような対策を講じればよいのでしょうか。

ATT&CKでは、利用者側に金融犯罪に関する手口と対策方法について理解してもらうように周知したり、不審な取引が行われていないかなどモニタリングによって確認したりする対応を推奨しています。

特に、金融機関における取引のモニタリングは、金融犯罪への有効な対策の1つといえます。近年の巧妙化している金融犯罪手口では、従来の取引時における認証のみでは突破される可能性が高いと考えられるため、多層防御の観点で取引のモニタリングを行うことが重要となります。

しかし、モニタリングを行う場合は不審な取引を検知・停止するための条件やルールを作成する必要があり、その際に最適なルールでなければ、正規の取引を不審な取引と判断する誤検知や、正しく検知せず不正取引を防ぐことができないという課題が生じます。そのため、モニタリングによる効果を最大化するためにも、検知精度や誤検知については見直し・改善しながら運用することが重要だと考えられます。

ただ、犯罪者がAIを悪用する時代に突入するなか、人間が作成するルールに基づく運用では防御に限界があります。したがって、AIにはAIで対抗すべく、金融機関側もAIを活用した不正取引検知を検討する必要があります。