ビジネス メール詐欺 (BEC) とは?

BEC 詐欺と聞くと、スパイ サスペンス映画のように思われるかもしれませんが、その背後にある手法は非常に現実的で、驚くほど効果的です。これらのサイバー犯罪者がどのようにやってのけるかを次に示します。

攻撃者が使用する手法

BEC 詐欺師は、運に頼るだけではありません。技術と人員の両方を巧みに操るスキルを持っています。次のような手口が考えられます。
 

• 偽のメール アドレスを使用して、メッセージが信頼できる送信元から送信されているように見せかけます。
• スピアフィッシング戦術を使用して、不気味なほど個人的な内容に見えるメッセージを特定の従業員を標的として送信します。
• マルウェアを展開して、武器として使用できる秘密の会話や情報にアクセスします。 

これらは、典型的なフィッシング詐欺ではありません。疑念を抱かせないように精密に作成されたものです。

BEC 攻撃が検出しにくい理由

BEC 攻撃が知らない間に進行する理由は、その巧妙さにあります。詐欺師は、人間が本来信頼しやすい性質であり、多くの企業が予測可能なプロセスに依存しているという事実を利用します。詐欺師は、支払いの承認や請求書の更新などの日常的な依頼を模倣することで、このような傾向を非常に巧妙に悪用するため、経験豊富な従業員でさえも騙されてしまいます。

BEC メールに見られる典型的な内容

BEC メールには、注意すべき明らかな兆候がしばしば含まれています。一般的な要素は次のとおりです。
 

• 急を要する銀行振込やギフトカード購入の依頼。
• "これを私的に処理できますか? 私は今、会議に参加しています。" というメッセージ。
• 微妙におかしい文法や、本物から 1 文字だけ異なるメール アドレス。 

これらのメッセージは、あなたが立ち止まって疑問を持つ前に行動を促すように設計されています。これらの要注意事項を認識することが、詐欺を阻止するための第一歩です。

BEC 詐欺師は、平等に標的を狙います。つまり、金銭や機密情報にアクセスできる人なら誰でも標的にします。しかし、特定の組織や役割がより標的になりやすい傾向があります。

一般的な標的は次のとおりです。
 

• あらゆる規模の企業: 大企業から小規模企業までが含まれます。
• 政府機関: 予算や契約を管理します。
• 非営利団体: 特に大規模な寄付や助成金を扱う団体です。
• 学校や大学: 管理職員が授業料の支払いやベンダーの請求書を処理します。 

基本的に、組織が金銭を動かしたり、機密の業務を管理したりする場合に標的になります。

詐欺師が狙う特定の役割

すべての従業員が等しく BEC 詐欺の標的になるわけではありません。攻撃者は、財務権限や高度なアクセス権を持つ役割に狙いを定めます。主な標的は次のとおりです。
 

• 財務担当の従業員: 銀行取引の詳細、支払い方法、口座番号を管理している経理部長や買掛金担当者などです。
• 経営幹部: 特に CEO や CFO は、その依頼に重みと緊急性があり、その詳細情報が公表されています。
• 人事担当者: 社会保障番号、納税証明書、連絡先情報、スケジュールなどの従業員の記録を管理しています。
• IT 管理者: システムへのアクセス権が、攻撃者が組織に深く入り込むのに利用される可能性があります。
• 新入社員や入社したての従業員: メールの正当性を確認するのに苦労します。 

詐欺師は、これらの役割が要であることを知っているため、彼らになりすましたり、彼らを直接騙したりすることで、組織の資産への扉が開かれます。

BEC 詐欺は、単なる痕跡を残すのではなく、大規模な破壊跡を残します。財務、業務、評判への影響は驚くべき規模になります。詳しく見ていきましょう。

BEC 攻撃の経済的影響

数字は嘘をつきません。BEC 攻撃による損害は非常に高額になります。FBI の報告によると、BEC 詐欺は 2013 年以降、USD$500 億以上の損失をもたらしています。しかし、損害は、直接盗まれた金銭だけではありません。次のようなコストも加わります。
 

• データ漏洩からの回復: 攻撃者が詐欺中に機密情報にアクセスすることがよくあります。
• 法的および規制上の罰金: 特に顧客や従業員のデータが侵害された場合です。
• 業務の混乱: チームが急いで危機に対応する必要があります。 

BEC の策略が進化するにつれて、脅威に対する保護の戦略も進化しています。Microsoft のメールの脅威に対する保護ソリューションの詳細をご確認ください。

ビジネス メール詐欺の例

BEC は単なる理論ではなく、組織内で毎日発生しています。BEC の具体的な実際の例をいくつか紹介します。

例 1: 急ぎの請求書の支払いを依頼される

あなたは会社の財務部門で働いているとします。支払期日を過ぎた請求書に関する緊急の依頼のメールが CFO から送られてきますが、実際には CFO からのものではありません。あるいは、詐欺師が会社またはインターネット プロバイダーを装って、信用できるように見える請求書をメールで送ってきます。

例 2: 電話番号を尋ねられる

会社の重役から次のようなメールが送られてきます: "簡単なタスクであなたの助けが必要です。電話番号を送ってもらえれば、テキスト メッセージで連絡します"。テキスト メッセージはメールよりも安全かつ個人的なものだと感じるため、詐欺師はあなたが支払い情報や他の機密情報をテキスト メッセージで送ることを期待します。これは "スミッシング" または SMS (テキスト) メッセージを利用したフィッシングと呼ばれています。

例 3: 極秘の買収

社長が競合他社の 1 つを買収するための手付金を求めてきます。メールには "このことはここだけの話にしておいてください" と書かれていて、依頼の確認を思いとどまらせることになります。M&A の詳細は、すべてが確定するまでは内密にしておくことが多いので、この詐欺は最初は疑わしく見えない場合があります。

BEC と従来のフィッシング攻撃の違い

BEC とフィッシングはどちらもメールベースの詐欺ですが、その戦術と影響はかなり異なります。

• BEC: 非常に標的を絞った、個人的な攻撃。詐欺師は、事前に調査を行い、特定の人やプロセスを模倣して信頼を得ます。これらの攻撃は、銀行振込や機密データなどの価値の高い資産に焦点を当てます。
• 従来のフィッシング: 広範囲にわたる無差別の攻撃。偽のログイン ページ、"あなたは賞を獲得しました" というメール、または一般的な脅しの戦術を考えてみてください。これらは見分けやすく、たいていはパスワードや少額のお金を盗むことを目的としています。

BEC のリスクの方がはるかに高く、組織がこれらの高度な詐欺に対する防御を優先することが重要になります。

BEC 攻撃をその場で防ぐには、先回り型の対策、技術的な防御、自体が悪化した場合の盤石な計画を組み合わせる必要があります。組織を安全に保つ方法は次のとおりです。

組織的対策と従業員のトレーニング

最初の防御線は人員であり、意識を高めることで組織内の潜在的に一番弱い部分をサイバーセキュリティの味方に変えることができます。全員が次のものを見つけることができるようにしてください。
 

• フィッシング リンク。
• ドメインとメール アドレスの不一致。
• 疑わしい緊急の依頼。

さらに BEC 行為のシミュレーションを行うことで、BEC 行為が実際に発生したときにそれと認識できるようになります。

セキュア メール ゲートウェイと技術的ソリューション

テクノロジによって防御を強化できます。悪意のあるメールを検出してブロックするために設計されたツールには、次のものがあります。

• セキュア メール ゲートウェイ (SEG): これらはフィルターとして機能し、受信メッセージを分析して詐欺やなりすましの兆候を見つけます。
• 多要素認証 (MFA): 詐欺師が資格情報にアクセスしたとしても、MFA によってセキュリティが強化されます。
• ドメインベースのメッセージの認証、レポート、および適合 (DMARC): このプロトコルは、攻撃者によるメール ドメインのスプーフィングを防止するのに役立ちます。 

これらのツールを実装することで、BEC 攻撃が成功するリスクを大幅に減少させることができます。

疑わしい BEC 攻撃への対応

BEC 攻撃が疑われる場合、迅速な対応が重要です。実行すべき手順は次のとおりです。
 

1. 取引を凍結する: 銀行振込が開始された場合は、すぐに銀行に連絡して支払いを停止または逆送金してください。
2. IT チームに警告する: IT チーム、はメールの送信元を調査し、攻撃者からのさらなる通信をブロックできます。
3. プロセスを見直して更新する: 既存のセキュリティ プロトコルのギャップを探し、将来のインシデントを防ぐために強化します。 

対応計画を用意しておくと、1 分 1 秒を争うときの準備が整います。

AI とメールのセキュリティ

サイバーセキュリティのための AI と機械学習の台頭により、メールセキュリティが劇的に改善されています。これらのテクノロジは次のとおりです。

• メールの行動パターンを分析して、銀行振込の突然の依頼などの異常を検出します。
• メール アドレスのわずかな違いなど、なりすましの微妙な兆候を特定します。
• 新たな脅威に継続的に適応し、詐欺師が検出ツールの先を行くのを難しくします。 

セキュリティ スタックに AI を活用した統合 SecOps ソリューションを統合することで、ますます巧妙化する攻撃者よりも優位に立つことができます。

BEC 攻撃を防ぐには、一歩先を行くことが不可欠です。サイバー犯罪者は戦術を常に進化させているため、セキュリティ対策も脅威自体と同様に動的である必要があります。防御を強化し、最新の状態に保つ方法は次のとおりです。

継続的な監視と更新

BEC 攻撃は、"設定して忘れる" 脅威ではありません。詐欺師は、既存のセキュリティ ツールを回避するための手法を絶えず改良しているため、次のことに注意を払う必要があります。

• 定期的なセキュリティ監査: 防御の弱点を特定します。
• 頻繁なソフトウェアの更新: 脆弱性を修復し、新たな脅威から保護されていることを確認します。
• 継続的な脅威監視: 疑わしいメール パターンから不正アクセスの試みまで、異常な活動をリアルタイムで検出します。 

セキュリティ態勢を継続的に進化させることによってのみ、これらの変化する脅威に対応できます。

最新の脅威に関する最新情報を常に把握する

サイバー脅威インテリジェンスに関する最新情報を常に把握することで、潜在的な脅威が深刻な問題になる前に特定するのに役立ちます。最新情報を常に把握する方法は次のとおりです。

• サイバーセキュリティに関するブログやニュースレターを購読し、新しい BEC 手法に関する定期的な更新情報を受け取ります。
• 業界特有のセキュリティ フォーラムに参加し、情報を共有し、その他の組織の経験から学びます。
• サイバーセキュリティの専門家と連携し、脅威ハンティングと、それがビジネスにどのように影響する可能性があるかを把握します。 

詐欺師が脅威検出と応答にどのように適応しているかに関する知識を深めるほど、詐欺師の攻撃を阻止する準備がより整います。

Microsoft Office 365 を使用している組織に対して、Microsoft Defender for Office 365 は、BEC 攻撃を検出して軽減するための強力なソリューションを提供します。次の機能が提供されます。
 

• 高度なフィッシング保護: 疑わしいメールをブロックし、潜在的な脅威についてユーザーに警告します。
• リアルタイムの監視と報告: エンドポイントでの検出と対応 (EDR) を使用して、侵害が発生した兆候を見つける手助けをします。
• 自動化されたインシデント応答アクション: 悪意のあるメールの隔離や既知の脅威アクターのブロックなどです。

セキュリティ スタックに Microsoft Defender for Office 365 を統合することで、BEC との戦いにおける強力な味方を得ることができます。この味方は、進化する脅威に対応するために継続的に更新されます。

また、Microsoft Defender XDR の自動攻撃かく乱機能は、BEC などの進行中の攻撃を停止し、さらなる横移動を防ぐことができます。