スカイスナッグ・ブログ
FBIがBEC(Business Email Compromise)を「260億ドル規模の詐欺」と位置づけ、1件あたりの平均被害額を501万ドル(約6.6兆円)としているのは驚くことではなく、その脅威は拡大の一途をたどっている。BEC詐欺師は2020年に18億ドル以上を稼いでおり、これは他のどの種類のサイバー犯罪よりもかなり多い。この記事では、最も一般的なBEC攻撃とその防止方法について見ていきます。基本的なことから始めますが、以下のリンクから先に進んでください。
目次
ビジネスメール詐欺(BEC)とは?
BEC(Business Email Compromise)とは、電子メール詐欺の一種であり、悪意のある行為者が、従業員を騙して金銭を送金させたり、機密情報を共有させたりするために、高級幹部やその他のビジネス関連の人物になりすますものです。BEC攻撃の目的は通常、標的組織から金銭を盗むことですが、攻撃の一環として機密データが流出することもあります。
BECの種類
BEC攻撃にはさまざまな形態があるが、最終目的は共通している。従業員を騙して送金させたり、機密情報を共有させたりすることだ。
一般的なBEC攻撃には以下のようなものがある:
CEO詐欺
この種の攻撃では、攻撃者はCEOやCFOなどの高位幹部になりすまし、従業員を騙して不正口座に送金させる。
ベンダー詐欺:
この種の攻撃では、攻撃者がベンダーやその他のビジネス・パートナーになりすまし、従業員を騙して不正な口座に支払いを行わせる。
W-2フィッシング
この種の攻撃では、攻撃者は上級幹部や人事担当者になりすまし、従業員を騙して社会保障番号や生年月日などの機密情報を共有させる。
ビジネスメールのなりすまし:
この種の攻撃では、攻撃者は正規の企業の電子メールアドレスを偽装し、従業員を騙して悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりする。
ドメイン・スプーフィング:
この種の攻撃では、攻撃者は正規の企業に似たドメイン名を登録し、従業員を騙して悪意のあるリンクをクリックさせたり、悪意のある添付ファイルを開かせたりする。
BECを防ぐには?
BECを防止するために組織が講じることのできる手段は数多くある。その中には次のようなものがある:
メール認証を導入する: SPF、DKIM、DMARCなどの電子メール認証は、BECの一般的なタイプである電子メールのなりすましを防止するのに役立ちます。
従業員を教育する:従業員には、BECのリスクや不審なメールの見分け方について教育する必要がある。不明な送信者からのリンクをクリックしたり、添付ファイルを開いたりしないことの重要性を認識させることも重要です。
包括的なセキュリティ・ソリューションを導入する:次世代ファイアウォールなどの包括的なセキュリティ・ソリューションを導入することで、さまざまなBEC攻撃から保護することができます。
疑わしい活動を監視する:多額の電信送金やベンダーの支払情報の変更など、不審な行動を監視し、さらなる調査のためにフラグを立てるべきである。
BEC攻撃の仕組み
1.対象となる被害者を特定する。
BEC攻撃は通常、フィッシングメールから始まる。この段階で、攻撃者はLinkedIn、Facebook、Googleなどのサイトを通じて被害者を調査し、企業の正確なプロフィールを作成します。
2.グルーミング
適切な情報を得た攻撃者は、ソーシャル・エンジニアリングの手口を使って、高級幹部やその他のビジネス関連の人物の電子メールアドレスになりすまし、従業員に送金や機密情報の共有を求めるメッセージを送信する。
3.情報交換
そのメッセージは一見、正当な送信者から送られているように見え、被害者は正当な商取引を行っていると確信するかもしれないが、たいていの場合、誤字脱字など、疑うべき赤信号が含まれている。
4.支払方法
従業員がこの攻撃に引っかかって送金したり、機密情報を共有したりすると、攻撃者は組織の財務や機密データにアクセスできるようになる。そして、攻撃者はこの情報を使って組織から金銭を盗んだり、犯罪組織が管理する銀行口座に資金を送金してなりすましを行ったりする可能性がある。
BEC攻撃の結果とは?
BEC攻撃は組織に壊滅的な影響を与える可能性がある。攻撃者が組織の財務にアクセスすることができれば、組織の口座から送金することができるかもしれない。これは、組織にとって大きな財務的損失につながる可能性がある。さらに、攻撃者が従業員の機密情報にアクセスすることができた場合、個人情報を盗むことができる可能性がある。これは、情報が漏洩した従業員だけでなく、組織の評判にも大きな影響を与える可能性がある。
BEC攻撃にどう対応するか?
BEC攻撃の被害に遭ったと思われる場合は、以下の手順に従ってください:
1.銀行に通知する:騙されて不正な口座に送金してしまった場合は、すぐに銀行に連絡してください。盗まれたお金を取り戻す手助けをしてくれるでしょう。
2.警察に通報する:警察に被害届を出す。警察は、盗まれたお金を取り戻す手助けをしてくれるかもしれませんし、襲撃を捜査してくれるかもしれません。
3.従業員に通知する: 騙されて従業員の機密情報を共有してしまった場合は、従業員に攻撃について通知する必要があります。従業員はID窃盗の危険にさらされる可能性があり、自分自身を守るための措置を講じる必要があります。
4.ベンダーに通知する:ベンダーの機密情報を共有するよう騙された場合は、ベンダーに攻撃について通知する必要があります。ベンダーは詐欺の危険にさらされている可能性があり、自らを守るための措置を講じる必要があります。
5.顧客に通知する: 騙されて顧客の機密情報を共有してしまった場合は、顧客にその旨を通知する必要があります。顧客は詐欺の危険にさらされている可能性があり、自衛手段を講じる必要があります。
6.保険会社に通知する:攻撃されたことを保険会社にも知らせること。攻撃に関する費用の一部を負担してくれるかもしれない。
7.セキュリティ対策を実施する: 最後に、将来の攻撃を防ぐためのセキュリティ対策を実施する必要があります。これには、メール認証の導入、従業員へのメールセキュリティ教育、包括的なセキュリティソリューションの導入などが考えられます。
結論
ここ数年、マルウェア、ランサムウェア、フィッシング詐欺などの被害が頻発し、深刻化しています。当社の自動DMARCソリューションは、BEC攻撃を回避しながら、フィッシング、ランサムウェア、マルウェア攻撃の影響を軽減します。
DMARCレコードを作成するために、Skysnagアカウントを作成してください。
Skysnagの無料トライアルを開始することで、Eメールを完全に保護し、サイバー犯罪から組織を守ることができます。