ビジネスメール詐欺(BEC)とは?
セキュリティをすり抜ける危険なメール
2023年6月23日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What Is Business Email Compromise? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
まずはビジネスメール詐欺(BEC)とは何かを定義しましょう。
ビジネスメール詐欺、すなわちBEC(Business Email Compromise)とは、ハッカーが企業のメールアカウントにアクセスし、そのアカウント所有者になりすまして企業に対する詐欺を行うことです。
使われる被害者のメールアカウントは信頼できるものです。
攻撃者はしばしば、企業のネットワーク上のあるメールアドレスとほぼ同じメールアドレスでアカウントを設定します。
ビジネスメール詐欺は「マンインザメール攻撃」(man-in-the-email attack)とも呼ばれています。
FBIがビジネスメール詐欺を「260億ドルの詐欺」と分類したことは、攻撃1件につき平均501万ドルの被害※が企業にあることを考えれば驚くことではなく、その脅威は拡大する一方です。
ビジネスメール詐欺攻撃は、架空のメールアドレスからの、または詐欺師に盗まれた正当なメールアドレスからのメールを受け取る従業員を対象としています。
2020年には、ビジネスメール詐欺師によって18億ドル以上の被害があり、他のどの種類のサイバー犯罪よりも多かったです。
※訳注:501万ドルは、約7億円です(1ドル140円換算)。
ビジネスメール詐欺とは何か、その仕組みは?
ビジネスメール詐欺の攻撃では、攻撃者たちは従業員や信頼できるパートナーになりすまします。
そして、機密情報へのアクセス許可や送金など、ある行為を実行するよう被害者を説得するのです。
ビジネスメール詐欺に対する知識が増えたにもかかわらず、攻撃者たちは引き続き成功を収めています。
2021年の上半期から下半期にかけて、通常でない消費者を狙ったこれらの攻撃の頻度は84%増という驚異的な伸びを示しました。
にもかかわらず更に、2021年下半期には攻撃発生率はメールボックス1000個あたり0.82個に増加しました。
ビジネスメール詐欺攻撃の主な種類とは?
FBIによると、ビジネスメール詐欺の主な種類は以下のとおりです。
偽の慈善団体
ビジネスメール詐欺の攻撃で最も一般的な形態の一つは、価値ある目的のために資金を集めていると主張する偽の慈善団体からのメールを送るものです。
これらのメールには、コンピュータをウイルスやその他のマルウェアに感染させるために設計された悪意のあるソフトウェアが含まれる添付ファイルがよくみられます。
旅行に関するトラブル
もう一つの一般的なビジネスメール詐欺は、フライトやホテルの予約に問題があったと主張する(通常、誰かが直前に予約をキャンセルしたためなど)偽の旅行代理店からのメールを送るものです。
メールでは、メッセージに含まれた添付ファイルやリンクをクリックして旅行情報を更新するように求められます。
従うと、誤ってコンピュータにマルウェアをインストールしたり、ハッカーにデバイスに保存された機密データへのアクセスを許してしまう可能性があります。
税制上の脅威
この攻撃は、被害者がお金を支払わない場合、政府機関が法的または公的な措置を取ると脅すというものです。
これらの詐欺には、法的な影響を避けるために、偽の請求書や支払の要求が行われることがよくあります。
弁護士のなりすまし
これらのメールは、弁護士が法的な問題でユーザの助けを必要としていると主張します(親戚や知人が逮捕された、あるいは他の誰かによって借りられたお金を回収しようとしているなど)。
このような場合、詐欺師は、課題となっている法的な問題(お金を返すなど)について「助ける」ためにあなたの個人情報を求めます。
偽の請求書のスキーム
この詐欺では、ある企業が他の企業に請求書を送りますが、通常、かなりの金額が請求されます。
請求書には、受信者が受け取っていないサービスや商品について、代金を支払う義務があることが記載されています。
そして、その請求書の代金を振り込むように要求されることもあります。
データ盗難
この詐欺は、会社から機密データを盗み、それを競合他社や他の利害関係者に販売することが含まれます。
また窃盗犯は、要求に従わなければデータを公開すると脅すこともあります。
ビジネスメール詐欺攻撃の仕組み
ビジネスメール詐欺の仕組みは以下の通りです。
- なりすまされたメールアカウントまたはWebサイト
- 攻撃者は、正当なものに見えるメールアドレスやWebサイトになりすまします。
そして、銀行の口座番号や暗証番号などの金融情報を求めるフィッシングメールを1通または複数通送信します。
DMARCを使うことで、ドメインが攻撃者になりすまされるのを防ぐことができます。 - スピアフィッシングメール
- スピアフィッシングメールは、職場の従業員に直接送信される高度な標的型メールです。
多くの場合、社内の誰か(役員など)からの内部連絡を装い、「緊急送金」「緊急請求書」などの件名で、機密データをすぐに要求する内容になっています。 - マルウェアの使用
- 攻撃者は、被害者のコンピュータに悪意のあるソフトウェア(マルウェア)をインストールし、それを使って被害者の行動を追跡したり、キーストロークをキャプチャしたり、スクリーンショットを撮ることができます。
攻撃者がコンピュータに物理的にアクセスできる場合は、キーロガー※がインストールされることもあります。
※訳注:キーロガーとは、コンピュータのキーボードの操作を記録・監視するソフトウェアのことです。
ビジネスメール詐欺を防ぐには?
ビジネスメール詐欺攻撃が成功すると、ビジネスに多大な損失を与え、重大な損害をもたらす可能性があります。
しかし、次のようないくつかの簡単な手順を踏むことで、これらの攻撃を防ぐことができます。
1. DMARCでドメインを保護する
DMARCを利用することで、ビジネスメール詐欺のメールをブロックすることができます。
組織は、メールチャネルの可視性を高めるとともに、プロトコルを使用することにより、送信者の検証およびドメインとの整合性を通じて、どの送信元が自分たちのドメインの代わりにメールを送信しているかを特定することができます。
組織はこの情報を利用し、信頼できるすべてのソースが正しく検証されていることを確認できます。
信頼できるすべてのソースが正しく検証されていることを確認できた場合、組織はp=rejectのDMARCポリシーを実装することができます。
このポリシーにより、すべての悪意のあるメールは拒否され、受信者の受信トレイには届かなくなるため、ビジネスメール詐欺のメールが顧客に届くリスクを低減することができます。
2. フィッシング対策を行う
フィッシング対策ソフトを使用し、ネットワークに感染する悪意のあるリンクや添付ファイルがないか受信したメールをスキャンしてください。
3. 職務を分離する
重要な機能は一人だけで実行されないようにしましょう。
これにより、従業員が不正な行為を強制されるリスクを低減することができます。
4. 外部メールをラベル付けする
すべての外部メールにそのようなラベルを付けるか、あるいは安全なメールゲートウェイ経由で転送されるようにし、組織のネットワークから直接送信されたように見えないようにします。
5. メールアドレスを注意深く調べる
メールアドレスを注意深く調べましょう。
知っている人からのものであれば、メールを開いて読んでみてください。
もし知らない人からのものであれば、なぜ連絡をするのか聞いてみてください。
また、メールの件名にそのメールに関する情報が記載されているかどうかも確認しましょう。
件名はもともと受信トレイにあるものと一致するべきです。
6. 従業員を教育する
ビジネスメール詐欺攻撃に対する最善の防御策は、従業員教育です。
従業員はビジネスメール詐欺の脅威、その仕組み、そしてどのように彼らが狙われるかについて学ぶ必要があります。
また、ビジネスメールの使用と認証されたメールユーザに関する企業のポリシーを理解しているべきです。
結論
ビジネスメール詐欺は、最も高度なセキュリティ対策をもすり抜け、無防備なCEOやCFOをたった1通のメールで陥れます。
結局のところ、これはビジネス界に蔓延している真に陰湿な攻撃手段なのです。
つまり、十分に注意する必要があります。
PowerDMARCのDMARC解析ツールを使用して、ドメインのメールを確実に配信し、偽物のメールが送信されないようにしましょう。
なりすましをなくすことは、ブランドを保護するだけでなく、ビジネスの存続を保証することになるのです。
まずはPowerDMARCのトライアルで、DMARC解析ツールをお試しください。