ビジネスメール詐欺 (BEC) は、世界中のあらゆる規模のあらゆる業種の組織にとって、大きな懸念材料となっています。2019年、FBIのインターネット犯罪苦情センター (Internet Crime Complaint Center: IC3) では、ビジネスメール詐欺、つまりBEC に関する苦情が23,775件登録され、17億ドル以上の損害が発生したと言われています。
ビジネスメール詐欺 (BEC) は、攻撃者が正規の人物になりすまして、標的をおびき寄せ、機密情報を提供させたり、資金を別のルートに回させたりすることでおこなわれています。これらの攻撃には、悪意のあるリンクや、ウイルスやマルウェアなどの添付ファイルは使われません。一般にインターネットなどに公開されている情報やソーシャルエンジニアリングを用いておこなわれるため、従来のセキュリティツールや手法では検出が困難です。近年、これらの攻撃はさらに洗練されてきており、かつ標的を絞ったものになってきています。しかし、これらの詐欺メッセージを見破るのに役立つ、いくつかの兆候があります。ビジネスメール詐欺 (BEC) を発見し、これを防御するためには、以下の3つの一般的な警告サインを覚えておくことが役立ちます。
1. 時間にタイトで、かつ秘密の要求をする
BEC攻撃を実行する際、攻撃者はしばしばターゲットから感情的な反応を引き出すことを試みます。一般的には、ターゲットの人物の上司や上級管理職の身元を詐称し、「緊急の変更」や「個人的なお願い」を要求し、上司や会社の幹部を助けたいという従業員の欲求を利用します。この種の攻撃はますます洗練されてきており、これらの要求は平日や週の終わりにも来るため、ターゲットとなる従業員に営業時間内に要求を終わらせなければならないというプレッシャーを与えます。
2. 個人メールやモバイルからのメッセージ
攻撃者が既存の防御策を回避するために悪用するもう一つの一般的な戦術は、個人のGmailやYahooアカウントなどの役員、従業員、サプライチェーンのパートナーの個人的なメールアドレスを偽装することです。緊急の依頼であるかのような印象を与えるために、これらのメッセージには、「〇〇さん、お疲れ様です。今、空港に向かう途中でオフィスを離れなければならなかったのですが、<重要なサプライチェーン・パートナー>社からのメッセージを受け取ったので、今日中に送金する口座を変更する必要があります。私が出張の間、この件をお願いできますか?」というような内容が含まれています。このメッセージには、携帯電話から送信されたように見せかけるための署名が含まれています。
3. サプライチェーンの取引先企業からの直接メッセージ
ビジネスメール詐欺 (BEC) の攻撃やメールアカウント侵害 (EAC)攻撃では、すでに窃取した取引先企業の正規のIDやユーザーアカウントを利用し、取引先企業になりすまして攻撃がおこなわれることが頻繁にあります。標的とされている人物にとって馴染みのあるサプライチェーンの取引先のIDを使ってなりすますと、狙われている人物が警戒することはありません。そのため、攻撃者にとっては非常に効果的です。このような手口を利用したメッセージには、直接何かをやるよう指示するメッセージが含まれます。例えば、従業員が、通常のプロセスや適切な事務処理を経ることなく、突然、支払先を変更したり、出荷情報を変更するように依頼されるなどです。
さらに学ぶ
これらの一般的なビジネスメール詐欺の兆候に気を配ることで、組織はBEC攻撃がメール受信箱を超えて侵入してくることを防ぐことができます。しかし、BEC に効果的に対抗するためには、エンドユーザのトレーニング、メール ゲートウェイ、メール認証を組み合わせた多層的な防御が必要です。組織とその従業員を完全に保護する方法の詳細については、当社の完全なBECおよびEACソリューションをご覧ください。