中小企業向けの基本的なBEC防御戦略

中小企業でできる対策

2024年2月18日
著者: Ahona Rudra
翻訳: 竹洞 陽一郎

この記事はPowerDMARCのブログ記事 Basic BEC Defense Strategy for Small Businesses の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

デジタルの状況は妥協なしに進化しており、それに伴いハッカーが基本的なBEC詐欺のようなサイバー攻撃を行う機会も増えています。
彼らは役員になりすまして偽のメールを送ることでBEC攻撃を試みます。
ほとんどのメールは、受信者が気づかないうちにハッカーの口座への金銭取引を要求しています。

このブログでは、BEC詐欺、その段階、および小規模事業者向けの防御戦略について詳しく探りますので、読み続けてください！

BEC詐欺とは何か、そしてなぜ危険なのか？

BECはBusiness Email Compromiseの略で、攻撃者が会社の役員になりすまして受信者（通常は財務部門の従業員）を操作し、金銭取引を行わせるタイプのメールフィッシング攻撃です。

彼らはドメインスプーフィング、類似ドメイン、およびタイプスクワッティング技術を使用して、メールが正当な送信元から来ているように見せかけます。
受信者が注意深く観察しないと気付かないような小さなスペルの変更を行います。
例えば、www.amazon.comの代わりにwww.amaz0n.comを使ったり、www.twitter.comの代わりにwww.tvvitter.comを使ったりします。

基本的なBEC攻撃は、主に会社のメールアドレスを使用して試みられるため、検出が非常に難しいです。
埋め込まれたリンクを疑わしいURLに追跡することは簡単ではありません。

典型的なBEC詐欺の段階

脅威のアクターはその技術と手法を洗練させており、サイバー犯罪に対するアプローチも進化しています。
これにより、抜け穴を見つけることが明らかに難しくなっています。
彼らは以下の4つの段階でBEC攻撃を計画し、検出されないようにします。

フェーズ1 - メールリストのターゲティング

悪意のあるアクターはLinkedInのプロフィール、ビジネスメールデータベース、その他のWebサイトをスカウトして、ターゲットにする個人や企業の統合リストを作成します。

フェーズ2 - 攻撃の開始

次の段階では、スプーフィングされたドメインや類似ドメイン、偽のメール名を使ってメールを送信します。

フェーズ3 - ソーシャルエンジニアリング

攻撃者は信頼される役員になりすまして、金銭の送金や機密ファイルの共有など、緊急の対応や行動を要求します。

フェーズ4 - 金銭的利益

これは基本的なBEC攻撃の最終段階であり、金銭的利益やデータ侵害が成功する段階です。

小規模事業者向けの8つの基本的なBEC防御戦略

ここでは、基本的なBEC詐欺を防ぐための8つの防御戦略を紹介します。

1. 支払い承認手続きを制定する

会社の支払い承認プロセスを見直し、固定されたルートを考案します。
これにより、単一の財務チームの従業員を操作して試みられる基本的なBEC攻撃の成功率を最小限に抑えることができます。
例えば、すべてのワイヤートランスファーを検証し承認するために上級従業員を要求することが含まれます。
さらに、従業員に対して電話や対面での確認を義務付けるべきです。

2. デバイスとwebメールクライアントを同じバージョンで実行する

デスクトップとwebバージョンが同期されていないと、脅威のアクターがデスクトップクライアントに露出しないルールを設定することができます。
これにより、攻撃の方法やその他の問題を追跡するのが難しくなります。

3. メールアドレスを二重チェックする

基本的なBEC攻撃を防ぐ最も簡単な方法は、メールアドレスのわずかなスペル変更や変化に注意を払うことです。
ハッカーは「i」と「1」や「o」と「0」のような見た目が似ている文字を使って人々を欺くフォントトリックも使用します。
これらの小さな変化は、送信ボタンを押す前に二重チェックしないと見逃しやすいです。
また、「返信先」と「送信元」のアドレスが一致しているか確認します。
両方のアドレスが一致しないメール通信はフラグを立てます。

4. MFAを有効にする

MFA（多要素認証）は、標準のユーザー名とパスワードの方法に追加のセキュリティレイヤーを追加する認証コンポーネントです。
OTP（ワンタイムパスワード）や、個人質問への回答、生体認証、行動分析などの方法により、基本的なBEC攻撃の可能性は減少します。
最近では、MFAメソッドに機械学習や人工知能が統合されており、位置ベースやリスクベースの認証技術を可能にしています。
位置ベースのMFAでは、ユーザーのIPアドレスや地理的位置がセキュリティ要素として機能します。
リスクベースの認証では、コンテキストや行動を考慮して認証が行われます。
一般的な例は以下の通りです。

• 勤務時間外のログイン。
• 異なる場所からのアクセス。
• 新しい未確認のデバイスからのサインイン。
• 安全でないネットワークを介して接続。

5. メールの外部アドレスへの自動転送を禁止する

メールの自動転送が有効になっていると、ハッカーが会話に入り込んで金銭詐欺を行うことができます。
FBIの2019年インターネット犯罪報告書によると、このように実行された基本的なBEC犯罪により、累計で17億ドルの損失が発生しました。
自動転送はまた、長期間にわたってメールアカウントにアクセスして悪用する機会を与え、機密情報や機密情報の潜在的な漏洩のリスクをもたらします。

6. メール認証プロトコルを使用する

SPF、DKIM、DMARC、BIMIは、信頼できるエンティティのみがあなたのドメインを使用してメールを送信できるようにすることで、メールのセキュリティを確保する認証プロトコルです。
SPFは、あなたの代わりにメールを送信することを信頼するIPアドレスとサーバのリストを作成して公開する必要があります。
リスト外のIPアドレスやサーバからのメールはSPF認証チェックに失敗します。
DKIMは、公開鍵と秘密鍵のペアを使用して送信者の信頼性を確認します。
DMARCは、SPFおよび/またはDKIM認証チェックに失敗したメールをどのように処理するかを受信者のメールボックスに指示します。
BIMIは、認証されたメールの隣に会社の公式ロゴを表示することで視覚的な識別のマークとして機能します。
あなたのメール認証の遵守状況を調査するために、私たちのメールヘッダーアナライザーを使用することができます。
自動生成されたメールアドレスに空のテストメールを送信することで、プロトコルを評価します。

7. 従業員に疑わしい支払い要求をフラグするよう奨励する

基本的なBEC詐欺の兆候を読み取るように従業員を訓練し、「ASAP」や「5分以内」などの言葉で緊急性を感じさせるメールについては確認を求めるよう奨励するべきです。
この場合、少し昔ながらの方法で確認し、物理的に会ったり電話で確認するのが良いでしょう。

8. 当局に詐欺を報告する

BEC詐欺やその他の詐欺を検出後すぐに関係当局に報告してください。
あなたの状況での修正が不可能であっても、当局は複数の報告から洞察を得ることができます。

中小企業の経営者として、メール認証サービスに投資し、チームのための認識セッションを実施することで、BEC詐欺からの保護に向けた一歩を踏み出すことができます。
メール認証の実装、管理、および監視のために、私たちに連絡して、そのエラーレスかつ妥協のない展開をお手伝いすることができます。