ビジネスメール詐欺（BEC）攻撃を防ぐ方法とは？

非営利団体ではビジネスメール詐欺（BEC）攻撃が増加しており、その割合は35%に達しています。サイバー犯罪者は容赦なく、寄付者データ、金融取引、内部通信を標的にします。

BEC攻撃は新しいものではありません。被害者の無防備さに依存する高度なソーシャルエンジニアリング戦術です。巧妙に作成されたフィッシングメールはスパムフィルターや最先端のメールセキュリティ対策さえも回避します。拡大する脅威環境下で安全を確保するには、BEC攻撃の防止策を学ぶことが不可欠です。

本ガイドでは、BEC攻撃を防止するために知っておくべきすべてのこと、および攻撃発生時の対応策について解説します。

ビジネスメール詐欺（BEC）攻撃とは？

ビジネスメール詐欺（BEC）攻撃は、メールアカウント侵害（EAC）攻撃とも呼ばれます。攻撃者は、正当な送信元から来たように見えるメッセージを送信します。一見して不審に思えないため、非常に危険です。

例えば、御社が毎月定期的に請求書を送付する取引先があるとします。BEC攻撃者は請求書の偽造版を作成し、本物と酷似したドメインから送信します。社内に内部関係者であるアシスタントがいる場合、その人物もBEC攻撃を仕掛ける可能性があります。従業員への報奨としてギフトカード購入を依頼し、購入後すぐにシリアル番号をメールで送るよう要求するケースが考えられます。住宅購入希望者には、不動産業者から「購入希望物件の頭金を振り込む方法」を説明したメールが届き、リンクが添付されることもあります。

BEC攻撃の手口とは？

BEC攻撃の手口は以下の通りです：

• 送信者のメールアドレスには、気づかれにくい微妙な違いが存在するケースがほとんどです。例えば、elon.musk(at)paypal(.)com が [email protected] のような類似アドレスで偽装されるケースがあります。ドメイン名は本物そっくりで、違いを見抜くのは困難です。日常業務に追われていると、こうした細かい点を見逃しがちです。
• BEC攻撃は、標的型フィッシングメールから発生し、組織内の信頼されている従業員を標的とします。これらのメッセージは、高い権限を持つ信頼できる送信者から届く可能性があります。彼らをよく知らない新入社員は、容易に被害に遭う可能性があります。彼らとのやり取りの中で、機密性の高い認証情報、データ、その他の情報を誤って共有してしまうかもしれません。事態に気づいた時には、すでに手遅れとなっているのです。
• もしハッカーが企業のデータベースに侵入することに成功した場合、メールリスト、脅威情報、請求書や支払いの詳細にアクセスできます。彼らは支払いサイクルや取引サイクルに合わせて攻撃を仕掛けるため、財務担当者や経理部門、CFOが疑念を抱くことはありません。あなたのチームは彼らの支払い要求に応じ、知らずに承認してしまうでしょう。さらに、ハッカーはメールに悪意のあるリンクを埋め込み、ユーザー名やパスワードなどの追加情報を盗むこともあります。

ビジネスメール詐欺の攻撃者は、送金依頼、海外サプライヤーとの取引、経営陣の公開メールアドレス使用などを要求してくる可能性があります。そうすれば自動的に彼らの標的となります。彼らは公開情報源からあなたに関する情報を収集し、オンライン上のユーザープロフィールを確認し、他のメールアカウントを侵害して、進行中の業務運営や取引関係に関する知見を得ようとします。

ビジネスメール詐欺攻撃の大半は金銭目的であり、CEOやベンダーを装ったり、財務アクセス権を持つ従業員に振り込み先を不正口座に変更させたりするケースが一般的です。時には、別の攻撃に利用する機密データを取得する手段として悪用されることもあります。

攻撃者はダークウェブで情報を売買し、ログイン認証情報を狙う場合もあります。これらはアカウント乗っ取りや後続攻撃に悪用されます。ドメインチェッカーを使用すれば、自社のドメインが脆弱か、こうした脅威に晒されているかを分析できます。

ビジネスメール詐欺の甚大な損害は、組織の評判を破壊し得る点にあります。攻撃者は業務を遅延させるだけでなく、リソースを乗っ取り削除することも可能です。

データ暗号化、なりすましの防止、多要素認証の徹底に注力し、攻撃の一歩先を行く必要があります。メールセキュリティにはデフォルトで認証プロトコルが組み込まれていません。そのため、メールサービスプロバイダーがセキュリティポリシーフレームワークを適用しているか確認する必要があります。攻撃者は受信メールの表示名や送信者アドレスを容易に偽装できます。類似ドメインは特に悪名高く、頻繁に利用されます。

ビジネスメール詐欺攻撃の検知方法とは？

ビジネスメール詐欺攻撃を見抜く方法をご紹介します：

• 送信者のメールアドレスを注意深く確認してください。送信者のユーザー名や実名が記載されている場合があります。イニシャルやフルネームが含まれていることもあります。プロフィール写真を確認する方法もありますが、写真は変更されるため確実ではありません。
• ドメイン名を確認してください。普段慣れているものとは異なるスペルミスや変種があれば、明らかな手掛かりです。
• メール内の特定の単語が強調表示（ハイライト）や下線付きになっている場合があります。緊急性を煽りクリックを促すもので、悪意のあるリンクが含まれているため注意が必要です。攻撃者がクリックを誘導するために用いる口実には、アカウントポリシーの確認、アカウント閉鎖の防止（更新）、既存サービスの再登録などが挙げられます。これらのリンクは基本的に疑わしいと想定し、感情に流されて行動しないでください。冷静に待ち、自身で確認してください。慌てて反応しないでください。
• 攻撃者が従業員のアカウントを乗っ取るケースもあります。これは予期できません。攻撃者は内部者のアカウントをハッキングし、組織内からメールを送信します。対処は困難ですが不可能ではありません。従業員と直接対面または電話で一度確認してください。ビデオ通話で話し、該当メールを指摘しましょう。もしハッキングされた場合、彼らはあなたに伝えるでしょう。そこから適切な対応を取ることができます。

BEC攻撃を防ぐためのベストプラクティス

BEC攻撃を防ぐためのベストプラクティスのリストは以下の通りです：

• 従業員を教育し、BEC攻撃の防止方法を学ばせる。セキュリティ意識向上とトレーニングは最も重要な対策の一つです。不審なメールアドレスや異常な要求といった警告サインを認識する方法を習得すれば、安全性が大幅に向上します。
• 多要素認証 を徹底し、脅威アクターが盗んだ認証情報を使ってメールアカウントにアクセスし、BEC詐欺を実行するリスクを軽減しましょう。金融取引の検証と承認、機密情報への安全なアクセスを確保するため、厳格なアクセス制御ポリシーと手順を適用する。
• 権限制限を設定し、承認を制限し、支払いデータへの変更をすべて検証する。
• リンクのURLを確認し、検証するまでメールの添付ファイルを開かないでください。添付ファイルをマルウェアスキャンし、信頼できないソースからのファイルダウンロードを避けてください。
• システムを定期的にパッチ適用および更新してください。ソフトウェアを最新の状態に保ちます。セキュリティチームは、異常なパターンや不審な行動を特定するために、継続的な監視と異常検知ソリューションも適用する必要があります。
• 信頼できるツールを使用して可視性のギャップを解消します。複数のソースからのテレメトリを相互に関連付けて、攻撃のコンテキストをよりよく把握し、検出と対応の時間を短縮します。
• まれに、気付かないうちに侵害が発生した場合に備えて、データのバックアップとセキュリティ対策を用意しておく。
• 強力な ID およびアクセス管理対策を導入する。大半のBEC攻撃はCIS対策を含まないため、これらを検討してください。そのためには、無効化されたアカウントを含む、アクティブおよび非アクティブなアカウントを棚卸しします。アクセスプロセス（アクセス権限の取り消しプロセスを含む）を確認し、確立します。