ビジネスメール詐欺(BEC)およびEメールアカウント侵害(EAC)による被害額は18億ドルを超え、昨年報告された企業および消費者の被害額の44%を占めています。
FBIのインターネット犯罪苦情処理センター(IC3)は、2020年に世界の組織に影響を与えた攻撃と、報告された苦情に関連する金銭的損失について詳述した インターネット犯罪報告書 (Internet Crime Report) を発表しました。
この報告書によると、サイバー犯罪の被害者から報告された苦情は791,790件、年間の損失総額は42億ドルで、2019年に向けて苦情件数は30万件以上(69.4%増)、損失報告額は7億ドル(20%増)増加しています。それでは、今年の報告書の中からポイントを見てみましょう。
ビジネスメール詐欺 (BEC: Business Email Compromise)
ランサムウェアが引き続きサイバー犯罪関連記事の見出しを独占している一方で、ビジネスメール詐欺 (BEC)および Eメールアカウント侵害 (EAC) とフィッシングが主要な脅威として挙げられました。その中で、ビジネスメール詐欺 (BEC) は「2020年のホットトピック」の2つのうちの1つとして取り上げられました。ビジネスメール詐欺 (BEC)および Eメールアカウント侵害 (EAC) に起因する金銭的損失はランサムウェアの64倍であり、これらのBEC/EAC詐欺は2020年の全損失の44%を占めています。しかし、BEC/EAC攻撃に関する苦情は思ったほど多くなく、苦情全体の2.4%にとどまっています。今回の報告書の統計から、いくつかのことが確認できました。
- 一般的なフィッシング脅威とは異なり、BEC/EAC詐欺は高度に標的が選定されている
- BEC/EACの脅威は量は少ないが、攻撃を受けると莫大な金額の損失をもたらす
FBIは、BEC/EACの犯罪スキームが進化していることを警告しています。BEC/EACのスキームは、経営幹部などのCレベルのEメールアカウントになりすましたり、ハッキングしたりして、不正な場所への送金を要求するものから、ベンダーのEメールを侵害して、大量のギフトカードを要求する不正なものまで様々です。
これは、プルーフポイントが観測した結果と一致しています。攻撃者は、サプライチェーンやパートナーのエコシステムを、標的となる組織に間接的な攻撃を仕掛けるための、もう一つの脅威のベクトルに変えています。偽装されたり情報が漏えいしたベンダーは組織にとって大きなリスクとなっていますが、ほとんどの組織では、どのベンダーがリスクとなっているかを可視化できていません。さらに、サプライヤーの請求書詐欺、M&A 詐欺、貨物輸送に関する詐欺など、BEC/EAC の亜種も増えています。様々なタイプの詐欺の中でも、サプライチェーン詐欺が最大の損失を占めることが多いです。
新型コロナウイルスを悪用する詐欺
2020年は、新型コロナウイルスのパンデミックにより、他に類を見ない年となりました。FBIのインターネット犯罪(IC3)レポートでは、詐欺師がパンデミックを利用して企業と個人の両方を標的にしたことが指摘されています。また、プルーフポイントでは、パンデミックが始まって以来、BEC、クレデンシャル・フィッシング、マルウェア、スパムメールキャンペーンにつながる大規模なソーシャル・エンジニアリング攻撃にコロナウイルスのテーマが使用されていることを確認しています。また、ここ数カ月の間に、プルーフポイントのリサーチャーは、COVID-19の救済策、ワクチン、亜種のニュースを利用した攻撃をより多く観測しました。この医療危機の間、攻撃者は時事問題をテーマにしたウイルスを使い続けると予想されます。
フィッシング脅威は以前として最大の脅威
FBIに報告された苦情の3分の1近くがフィッシングでした。この種の脅威に対して提出された苦情の数は、2019年から2倍以上に増加しており、126,640件の苦情が報告されました。これは、攻撃者が組織のインフラの脆弱性ではなく、人間を標的にしていることを示す明確な証拠です。攻撃者は、人間の本性を食い物にして、ターゲットを誘い出したり脅したりして、自分のために望ましい行動を取らせることを続けています。
増え続けるランサムウェア
FBIのインターネット犯罪IC3レポートによると、ランサムウェアのインシデント数は引き続き増加しており、2020年には2,474件のインシデントが報告され、損失額は2,900万ドルを超えました。同報告書では、ランサムウェアの最も一般的な感染手段の一つとして、電子メールによるフィッシングキャンペーンを挙げています。興味深いことに、この報告書では、ランサムウェアの被害額が「実際の額よりも低くでている」と強調されています。これは、この数字には、失われたビジネス、時間、賃金、ファイル、機器などの推定値が含まれていないためです。また、この数字は、FBIのフィールドオフィスに直接報告されたものでもありません。したがって、ランサムウェアの被害件数とそれに関連する損失額は、実際にはもっと多いということになります。
2020年に報告されたすべてのサイバー犯罪のうち、被害額ではBEC/EACがリードし、被害者数ではフィッシング / ビッシング / スミッシング / ファーミングが圧倒しています。いずれの脅威も、電子メールや侵害されたクラウドアカウントに関連しており、ソーシャルエンジニアリングを用いていることです。つまり、「人」を標的としていることです。
このような「人」を標的とした脅威に対抗するためには、企業は人を中心としたセキュリティ・アプローチをとる必要があります。プルーフポイントは、従業員を標的とした電子メールやクラウドの脅威を阻止し、従業員のリスクを可視化し、今日の高度な脅威に対する耐性を高めるためにユーザーを訓練する統合脅威保護プラットフォームによって、お客様のセキュリティ・リスクの低減を支援します。プルーフポイントのビジネスメール詐欺(BEC) / Eメールアカウント侵害 (EAC)についてのソリューションはこちらをご覧ください。