ビジネスメール詐欺(BEC)は、世界中の組織が経験する主な脅威の一つとなっており、毎年数十億ドルの損失をもたらしています。攻撃者が戦術を改良し続ける中、すべての企業はこれらの攻撃を理解する必要があります。このガイドでは、脅威を認識し、組織のリスクを軽減できるよう、BECについて探っていきます。
ビジネスメール詐欺とは何ですか?
ビジネスメール詐欺は、ソーシャルエンジニアリングを利用したメールベースの標的型攻撃です。攻撃者は、幹部や従業員、サプライヤー、弁護士など、信頼できる個人になりすますことがよくあります。受信者を騙して資金を送金させたり、機密情報を漏らさせたり、その他の損害を与える行為を実行させたりします。
より広範なフィッシングキャンペーンとは異なり、BECは綿密に計画され、非常にパーソナライズされています。これにより成功の可能性が高まり、従来のメールセキュリティ対策を回避できる場合が多くなります。
脅威の規模は重大であり、FBIのインターネット犯罪苦情センターのレポートによると、BEC攻撃による損失額は2022年だけで27億ドルを超えています。これらの攻撃は、技術的な脆弱性と同様に人間の信頼を悪用するため、特に危険で検出が困難です。
BEC攻撃の主な5つの種類
ほとんどのBECスキームは5つの主要なカテゴリーに分類されます。
1. 偽の請求書詐欺
これはBECの最も一般的な形式の1つであり、攻撃者は信頼できるベンダーやサプライヤーになりすまして、偽の請求書や支払い要求を送信します。これらのメールは、侵害されたアカウントや巧妙に偽装されたアカウントから送信されることが多く、正式なもののように見えます。
攻撃者は、QuickBooksやPayPalなどの信頼できるプラットフォームを活用して請求書を送信するケースもあります。こういったサービスからのメッセージであれば、セキュリティアラートが発動したり、疑念を抱かないという事実を利用しているのです。
例:中規模企業の財務マネージャーが、長年の取引先と思われる業者から請求書を受け取ります。メールは本物のQuickBooksアドレスから来ています。QuickBooksは広く信頼されており、文面も以前のやり取りと一致しているため、追加の確認なしに支払い要求が処理されます。送金された資金は、攻撃者が管理するアカウントに送られます。
2. CEO詐欺
CEO詐欺(幹部なりすまし詐欺とも呼ばれる)では、攻撃者が役員になりすまします。攻撃者は、侵害されたアカウントまたは巧妙に作られたなりすましメールを使用し、財務部門や人事部門の担当者に緊急の対応を求めます。これには通常、電信送金、機密データの公開、給与明細の変更などが含まれます。
幹部からの要求に伴う緊急性と権威により、これらの攻撃は非常に効果的になります。
例:多忙な四半期末に、CFOがCEOからと思われるメールを受信しました。この電子メールでは、営業終了までに新しいサプライヤーに「秘密裏に」電信送金を行うよう要求しています。要請が緊急で言葉遣いが馴染み深いため、CFOは迅速に対応します。彼らは後に、その資金が海外の不正口座に送金されたことを発見しました。
3. アカウントの侵害
アカウント侵害またはアカウント乗っ取り(ATO)攻撃では、攻撃者が実際のユーザーのメールアカウントを侵害します。この侵害は認証情報の再利用やフィッシングが原因でよく発生します。攻撃者は次に、アカウントを使用して悪意のあるアクティビティを行います。攻撃者は正当な、信頼されたアカウントをコントロールするため、その要求は組織内の他の人々にとって合理的で信頼できるように見えます。
4.弁護士のなりすまし
攻撃者は法律顧問を装うことが多く、正規の法律事務所に酷似したドメインを使用することもあります。攻撃者は従業員に対し、会社の機密情報や顧客の情報を共有したり、急いで支払いを行うよう圧力をかけます。現在進行中の取引や紛争に言及する法的要請を目にすると、受信者は十分な注意を払わずに行動することが多くあります。
5. データの持ち出し
この攻撃は、機密性の高い従業員データや顧客データを取得することを目的として、人事部または財務部の従業員を対象に行われることが多いです。これには、納税申告書、給与明細、個人を特定できる情報(PII)が含まれます。攻撃者は社内外を問わず、盗んだデータをさらなる詐欺、個人情報の盗難、またはその他の攻撃に使用することがよくあります。
BEC攻撃の仕組み
BEC攻撃はランダムではありません。攻撃者は通常、体系的なプレイブックに従います。
- ターゲットを調査してください:攻撃者はオープンソースの情報、ソーシャルメディア、会社のプレスリリース、漏洩したデータを利用します。組織構造、業務プロセス、財務権限を持つ者を特定します。
- 攻撃を周到に準備する:攻撃者は、収集した情報を使用して、個人向けのメールを作成します。また、企業のドメインによく似たドメインを登録(「タイポスクワッティング」)したり、正当なアカウントを侵害したりする可能性があり、メールでは実際に使用されている言語、署名、書式を模倣します。
- 信頼関係を構築し、罠を仕掛ける:攻撃の中には「一度きり」で終わるものもありますが、高度な攻撃では、何度もやりとりを繰り返す必要がある場合もあります。攻撃者は、重要な要求を行う前に徐々にターゲットとの信頼関係を構築し、信頼性を高めていきます。
- 実行する:攻撃者は、適切なタイミングで金銭、情報、またはその他の資産を要求します。緊急性や機密性を演出することもあります。攻撃者は通常、被害者がエラーに気付くまでに資金を送金するか、データを盗み出して、痕跡をほとんど残しません。
ビジネスメール詐欺を止めることが難しい理由
セキュリティ意識の高い組織であっても、BECの阻止が難しい要因はいくつかあります。
- メールセキュリティの回避:多くのBECメールには、悪意のあるリンクや添付ファイルが含まれていません。従来のメールセキュリティの解決策は、マルウェアやフィッシングのブロックに注力しているため、これらの脅威を検出できない可能性があります。
- 信頼できるプラットフォームの使用:攻撃者は、QuickBooks、OneDrive、PayPalなどのプラットフォームを悪用し、システムが生成した正規のメッセージを送信する可能性があります。
- パーソナライゼーションとタイミング:メールは背景を高度に汲み取ったものであり、実際のビジネスサイクルや進行中のプロジェクト、以前の侵害やLinkedInから得られた内部手順と密接に関連していることがよくあります。
- 人間の性質の利用:BECメールでは、権威、信頼、緊急性、機密性といった心理的トリガーを巧みに利用します。
仮説例:給与の不正流用
上級管理職からのように見えるメールを受け取った人事担当者について考えてみましょう。そのメールでは、新しい銀行の情報を引用し、口座振替情報を直ちに更新するよう要求しています。また、そのメールは、侵害された上司の実際のメールアカウントから送信されています。
人事担当者は、その要求が正当なものであると信じ、年長の社員の給与を遅らせたくないため、変更を処理します。給料日が来ると、給与は攻撃者が管理する口座に振り込まれ、実際の従業員が報酬を受け取ることはありません。
BECによる影響
BECによる財務コストは相当なものになり、一度の攻撃で数万ドルから数百万ドルの損失が発生する可能性があります。しかし、直接的な財務的損失は全体の一部に過ぎません。
評判の損害、情報漏洩に対する規制上の罰則、ビジネス関係の喪失は、潜在的な二次的影響です。これらの攻撃は多くの場合、財務情報や機密データを標的にしているため、組織は広範囲にわたる調査や修正の費用に直面する可能性があります。
ビジネスメール詐欺から会社を守り、未然に防ぐための重要な戦略
BECの予防には包括的なセキュリティアプローチが求められます。これは技術、プロセス、そしてユーザー意識を組み合わせたものです。
ユーザーの教育と啓発
継続的なトレーニングが非常に重要です。従業員は、支払い情報の予期せぬ変更、緊急の機密保持要求、通常とは異なる送信者のメールアドレスなどの一般的な手法を認識する必要があります。また、別のルートを通じて疑わしい要求について確認する力を持つ必要があります。
技術的管理
現代のセキュリティソリューションは人工知能と自然言語処理を利用しており、BECメール特有の文脈や行動の手がかりを検出します。これらのソリューションは、疑わしい要求にフラグを立て、送信者の正当性を分析し、過去の通信と比較して異常を検出することができます。
プロセスの検証
組織は厳格な内部統制を実施すべきです。これには、機密性の高い取引の多要素認証、資金振替の二重承認、身元確認手順の確立が含まれ、財務情報や機密情報の変更を伴う要求の場合に特に重要です。
定期的な監査とシミュレーション
電子メールのセキュリティ態勢の定期的な評価と段階的なフィッシングテストにより、準備状況を確実に把握することができます。また、プロセスの弱点を明らかにすることができます。
BECから組織を守る上では、以下の2つの管理が重要です。
- 支払い要求の確認:ベンダーの支払い情報の変更、新しいサプライヤーの追加、または送金の要求については、電話または対面による二次的な検証が必要です。メールだけに頼らないでください。
- 情報共有の制限:オンラインで公開される詳細なビジネス情報や従業員情報の量を制限してください。攻撃者はこのデータを偵察に使用します。
高度なソリューションによるBEC対策
攻撃者が人工知能を使用して説得力のあるBECメッセージを作成するケースが増えているため、これらの脅威に対抗するためのセキュリティツールも進化しています。Varonis Interceptorは、高度なAI、自然言語処理、行動分析を活用して、メールの内容、送信者の行動、文面の些細な異常を検出します。
この情報の中には以下のようなものが含まれます:
- めったに支払いを要求しない連絡先からの突然の支払い要求など、異常なコミュニケーションパターンの検出
- なりすましを見抜くための組織内の関係の分析
- 疑わしい要求や行動の逸脱に対するリアルタイムの対応
これらテクノロジーの連携により、ユーザーの警戒心だけが頼りな状況を軽減できます。また、従来の署名ベースのメールのフィルタリングから生じたギャップを埋めます。
詐欺を待つ必要はありません。
BEC攻撃は、現時点で最も深刻なサイバーリスクの一つであり、高度な技術と心理操作が組み合わされています。BECが取り得る様々な形態を理解し、攻撃の兆候を認識して、多層的な防御戦略を採用することで、組織はBECへの露出と財務リスクを大幅に減らすことができます。
攻撃者が常に技術を改良している状況では、警戒と積極的なセキュリティ体制が不可欠です。先進的なセキュリティプロバイダーと提携し、継続的な改善を優先することで、企業は進化する脅威に先んじることができます。これにより、財務および運営プロセスの健全性が保たれます。
VaronisがBECなどの高度なメールベースの脅威から組織を守る上でどのように役立つかについては、今すぐお問い合わせください。攻撃者があなたの受信トレイに手を伸ばす前に、当社のAIを活用したソリューションで通信を保護する方法をご確認いただけます。
ビジネスメール詐欺に関するよくある質問
BEC攻撃はどのような仕組みなのですか?
BEC攻撃は通常、攻撃者が標的を調査することから始まります。攻撃者は組織構造とビジネスプロセスに関する情報を収集した後、幹部やベンダーになりすまし、説得力のある個人的なメールを作成して、信頼を築きます。そして最終的には、緊急性や機密性を装い、金銭や機密情報、アカウントの変更を求める不正な要求を送信するのです。
ビジネスメール詐欺の例にはどのようなものがありますか?
BEC攻撃の例としては、財務マネージャーが信頼できるベンダーと思われる相手から請求書を受け取る場合があります。また、攻撃者がQuickBooksのような正当に見えるプラットフォームを利用することもあります。マネージャーが不正な支払い要求を実際に処理してしまうと、攻撃者が管理する口座に資金が送金されます。
フィッシングとBECの違いは何ですか?
フィッシングもBECも欺瞞的なメールを含みますが、この2つは大きく異なります。フィッシングメールの文面は一般的で、多くの受信者に広く送信されます。また、その目的は、注意の足りない個人を騙して悪意のあるリンクをクリックさせたり、認証情報を提供させたりすることです。
対照的に、BEC攻撃は高度にターゲティングされ、パーソナライズされており、リンクや添付ファイルを使用せず、ソーシャルエンジニアリングのみに依存している場合が多くあります。そのため、BEC攻撃の検出は難しくなります。
電子メールアカウントの侵害とは何ですか?
メールアカウントの侵害は、攻撃者が正当なユーザーのメールアカウントに不正にアクセスすることで発生するBECの一種です。これはしばしば、認証情報の盗難やフィッシングによって発生します。攻撃者は侵害されたアカウントに伴う信頼感を利用し、そのアカウントを使用して、組織内の他のユーザーに不正な要求を送信します。
注:このブログはAI翻訳され、当社日本チームによってレビューされました
