Vendor Email Compromise (VEC) ベンダーなりすまし攻撃の実態と防止策

信頼を逆手に取るVEC攻撃。多層防御でサプライチェーンを守る。

2025年7月3日
著者: Ahona Rudra
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 Vendor Email Compromise (VEC): How to Stop Attacks from Trusted Vendorsの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

Vendor Email Compromise（VEC）とは、攻撃者が信頼されているベンダーのアカウントを乗っ取ったり、なりすましたりして、企業の担当者を欺く標的型サイバー攻撃です。
これらの攻撃は従来のメールフィルターをすり抜け、サプライチェーン上の信頼関係を悪用して、金銭詐欺やデータ侵害につながる可能性があります。
本ガイドでは、VECの仕組みと、それを防ぐために必要な具体的な対策を解説します。

主なポイント

1. Vendor Email Compromise（VEC）は、信頼されているベンダーとの関係を悪用してフィルターを回避し、標的型フィッシングやマルウェア配布、偽請求書による詐欺などを行います。
2. VEC攻撃は増加しており、実在するベンダーのアカウントや巧妙に偽装されたドメインを利用して、従来のメール防御を回避するケースが多くなっています。
3. 基本的なフィルターや、SPF／DKIM／DMARCといった従来型のメール認証対策だけでは、最新のVEC手法に十分対応できません。
4. 企業への影響は深刻で、金銭的損失、データ侵害、評判の低下、さらにはコンプライアンス違反のリスクも伴います。
5. 効果的な防御には多層的な対策が不可欠であり、メール認証（SPF、DKIM、DMARC）、ベンダーリスク管理ツール、そして振る舞い分析に基づく監視の導入が求められます。
6. 初期防御を突破した攻撃を検知・対処するには、継続的なユーザ教育と受信トレイの監視が極めて重要です。

Vendor Email Compromise（VEC）とは

Vendor Email Compromise（VEC）とは、特定の企業が、取引のあるサードパーティベンダーを足がかりにして標的とされる、Business Email Compromise（BEC）の一種です。

Vendor Email Compromise攻撃の流れ

• 攻撃者は通常、ソーシャルエンジニアリングやブルートフォース攻撃を用いて、ベンダーのメールアカウントに不正にアクセスします。
• 乗っ取られたアカウントは、標的となる組織内の担当者に偽のメッセージを送信するために使用されます。
• これらのメッセージには、偽の請求書、機密情報へのアクセス要求、あるいはスパイウェアやランサムウェアなどのマルウェアを含むファイルのダウンロードリンクが含まれることがあります。
• この攻撃は特定の企業を狙い撃ちする高度に標的型の手法であり、ベンダーとクライアントの信頼関係を悪用して、従来の対策では検知が難しい点を突きます。

企業への影響

• 金銭的な損失
• データ保護当局からの制裁や罰金
• 企業ブランドや評判の低下

なぜ従来の対策では最新のVEC攻撃を防げないのか

一部の調査では、BECは報告されているサイバー犯罪の中でも大きな割合を占めており、組織にとって主要なメール起点の脅威とされています。
しかし、多くの企業はいまだに基本的なフィルターや従来型の認証チェックといった従来型のセキュリティ対策に依存しています。
これらの対策では、Vendor Email Compromise（VEC）を十分に防ぐことはできません。

❌ 基本的なスパムフィルター

巧妙に作られた標的型メールを検知できない場合があります。

❌ 不十分なメール認証

SPF、DKIM、DMARCが適切に設定されていない場合、ドメインのなりすましを許してしまいます。

❌ ベンダーへの過度な信頼

従業員が見覚えのある送信者からの依頼を疑わずに対応してしまいます。

VECが危険な理由

• 実在するベンダーのアカウントから送信されるため見分けがつきにくい
• スパムフィルターをすり抜け、正規ドメインを巧妙に装うこともある
• サプライチェーンにおける信頼関係を悪用する

従来型の対策だけでは十分に防ぐことはできません

最新のVEC攻撃を防ぐには、次のような対策が必要です。

• ドメインレベルでのメール認証（SPF、DKIM、DMARCの適切な設定とポリシー適用）
• ベンダードメインの継続的な監視
• なりすまし検知をリアルタイムで行い、脅威インテリジェンスと連携させること

今すぐ取り組むべき対策

より高度なメールセキュリティ対策へ移行し、なりすまし送信者を遮断するとともに、ベンダーの挙動を継続的に監視することで、VEC攻撃のリスクを大幅に低減できます。

VEC攻撃から自社を守るために

次のテクノロジーやベストプラクティスを導入することで、VEC攻撃のリスクを最小限に抑えることができます。

1. 高度なメール認証の導入

VEC攻撃に対して最も重要なのは、被害を未然に防ぐことです。
その中核となるのが、SPF、DKIM、DMARCといった高度なメール認証プロトコルです。

• SPF：受信メールが認可されたサーバーから送信されていることを確認します。
• DKIM：メールが送信途中で改竄されていないことを確認できます。
• DMARC：ベンダーのドメインが正しく認証されていることを確認し、なりすましの試みを防ぎます。

2. ベンダーリスク管理の強化

ベンダーリスク管理とは、サードパーティに起因するリスクを体系的に特定し、軽減する取り組みです。
そのためには、ベンダーのセキュリティ体制を継続的に監視する必要があり、多くの手間と時間がかかります。
このプロセスを効率化するために、専用の ベンダーリスク管理ソフトウェアを活用することも有効です。

3. 受信トレイとユーザ活動の監視

VEC攻撃の予防策に加え、万が一防御をすり抜けた場合に備えて、検知と対応の仕組みを整備することが重要です。
メール監視ツールやSIEM（Security Information and Event Management）システムは、企業ネットワーク上の不審な動きを可視化し、早期検知と迅速な対応を可能にします。

4. 包括的なセキュリティ方針と体制の確立

VEC攻撃はソーシャルエンジニアリングを用いるため、従業員のセキュリティ意識向上が不可欠です。
従業員に対して、VEC攻撃の手口や侵害の兆候を見分ける方法について定期的な教育を実施し、警戒心を高めることが重要です。

メールセキュリティを強化することで、サプライチェーン全体の安全性を高めることができます

企業が外部サービスやクラウドプラットフォームへの依存を強めるにつれて、ベンダーとのメール通信は増加しており、攻撃者にとって魅力的な標的となっています。
Vendor Email Compromise（VEC）は、サードパーティベンダーに関連する主要なリスクの一つであり、特に従来のメール防御を容易に回避できる点が問題です。

これに対処するには、従来のセキュリティ対策だけでは不十分です。
有効なのは、認証（SPF、DKIM、DMARC）、振る舞い監視、ベンダーリスク管理を組み合わせた多層的なメールセキュリティ戦略です。
このアプローチにより、VEC攻撃を防ぐだけでなく、長期的にサプライチェーン全体の安全性を高めることができます。