中小企業のためのBEC防御の基本戦略

ブログ

メール漏洩や詐欺に悩む中小企業のために、初心者に優しいBEC防御の基本的なスタテジーを紹介します。

byアホナ・ルドラ

読書時間 5
中小企業のためのBEC防御の基本戦略
目次-

デジタル環境は妥協のないスピードで進化しており、ハッカーが基本的なBEC詐欺のようなサイバー攻撃を行う機会も増えています。ハッカーは関係者になりすまし、代理で偽の電子メールを送信することでBEC攻撃を試みます。ほとんどのメールは、受信者が知らないハッカーの口座に金銭的な取引をするよう要求します。 

このブログでは、BEC詐欺の手口や段階、中小企業の防御策について詳しく解説していますので、ぜひご覧ください!

主なポイント

  1. ビジネスメール詐欺(BEC)は、攻撃者が会社関係者になりすまして受信者を操り、不正な金融取引を行わせるというものです。
  2. タイプミスなど、メールアドレスやドメイン名の些細な変更は、受信者がフィッシングを見破ることを困難にする。
  3. 支払い承認プロセスを明確に定義することで、複数のレベルの承認を必要とするBEC攻撃の成功リスクを最小限に抑えることができます。
  4. 多要素認証(MFA)を導入することで、メールのセキュリティを大幅に強化し、不正アクセスの可能性を減らすことができます。
  5. 従業員には、不審な電子メールや要求を報告するよう奨励すべきであり、緊急の要求に対して行動する前に確認することの重要性を強調すべきである。

BEC詐欺とは何か、なぜ危険なのか?

BECとは、Business Email Compromiseの略で、電子メールフィッシング攻撃の一種です。 電子メールフィッシング攻撃の一種です。攻撃者が会社関係者になりすまし、受信者(通常は財務部員)を騙して金銭的な取引をさせるフィッシングメール攻撃の一種。

彼らは、ドメイン・スプーフィング、そっくりドメイン、タイポス・スクワッティングのテクニックを使って、あたかも正当な送信元からのメールであるかのように見せかける。彼らは、受信者が注意深く観察しなければ発見されないような小さなスペル変更を行う。例えば、www.amazon.com の代わりに www.amaz0n.com 、www.twitter.com の代わりに www.tvvitter.com など。

基本的なBEC攻撃は、企業の電子メールアドレスを使用して試みられることがほとんどであるため、それを検出するのはかなり困難であり、危険です。疑わしいURLへの埋め込みリンクをハッカーに追跡させるのは容易ではありません。

PowerDMARCでセキュリティを簡素化!

15日間のトライアルデモを予約する

典型的なBEC詐欺のステージ

サイバー犯罪の手口はますます巧妙になっています。そのため、抜け穴を見つけることがより困難になっていることは明らかです。BEC攻撃は、多かれ少なかれ、以下の4つのフェーズで計画され、発見されないようにします。 

PHASE 1- メールリストターゲティング

悪意のある行為者は、LinkedInのプロフィール、ビジネスEメールデータベース、その他のウェブサイトを偵察し、標的としたい個人や企業の統合リストを作成する。

PHASE 2- 攻撃を開始する

次の段階では、なりすましやそっくりなドメイン、偽の電子メール名で電子メールを送信する。

PHASE 3- ソーシャルエンジニアリング

攻撃者は信頼できる関係者になりすまして、緊急の対応や送金などのアクションを要求したり、機密ファイルの共有を求めたりする。

PHASE 4- 経済的利益

これは、基本的なBEC攻撃の最終段階で、金銭的な利益やデータ侵害が成功した場合です。 

8 中小企業のためのBEC防御の基本戦略

ここでは、基本的なBEC詐欺を防ぐための8つの防御策を紹介します。

1.支払い承認のためのプロトコルを開発する

会社の支払い承認プロセスを見直し、固定パスを考案する。これにより、財務担当の従業員1名を操作することで基本的なBEC攻撃を成功させる可能性を最小限に抑えることができます。 

すべての電信送金を検証し、承認する上級従業員を義務付けることもできます。さらに、電話や対面でのコミュニケーションを通じて送金を確認するよう、従業員に義務づけることも必要です。 

2.端末とウェブメールクライアントが同じバージョンであることを確認する

デスクトップ版とウェブ版が非同期であるため、脅威行為者はデスクトップクライアントで公開されていないルールを配置することができます。そのため、攻撃方法のトレースなどに問題が生じる。

3.メールアドレスのダブルチェック

基本的なBEC攻撃を防ぐ最も簡単な方法は、電子メールアドレスのスペルが少し変わっていないか、変更されていないかを注意深く観察することです。ハッカーは、「i」と「1」、「o」と「0」のような似たような文字を使って人々を欺く、フォントトリックも使用します。送信ボタンを押す前にダブルチェックをしなければ、このような小さな変更に気づかないことがあります。

また、「返信」と「送信」のアドレスが同じかどうかも確認します。この両方のアドレスが一致しないメール通信にはフラグを立てます。 

4.MFAを有効にする

MFAまたは多要素認証は、標準的なユーザー名とパスワードの方法よりもさらにセキュリティの層を追加する検証コンポーネントです。携帯電話で送信されるOTP、個人的な質問への回答、生体認証、行動分析などの方法により、基本的なBEC攻撃の可能性は減少します。 

最近、MFA方式は機械学習と人工知能を統合し、ロケーションベースとリスクベースの認証技術を可能にしました。ロケーションベースのMFAでは、ユーザーのIPアドレスやジオロケーションがセキュリティ要因として機能します。リスクベース認証では、認証のためにコンテキストと行動を考慮します。一般的な例としては、以下のようなものがあります:

  • 勤務時間外にログインすること。
  • 別の場所からアクセスする。
  • 新しい未確認のデバイスからサインインしてください。   
  • 安全でないネットワーク経由で接続すること。

5.外部アドレスへの電子メールの自動転送の禁止

メールの自動転送が有効になっていると、ハッカーが会話に入り込んで金銭詐欺を行うことができます。によると FBIの2019年インターネット犯罪報告書ると、このような加害性の高い基本的なBEC犯罪により、累積で17億ドルの損失が発生しています。

また、自動転送を利用することで、長期間にわたってお客様のメールアカウントにアクセスし、悪用する機会を与えると同時に、重要な機密情報を漏洩する可能性があるというリスクもあります。

6.メール認証プロトコルを使用する

SPF、DKIM、 DMARCおよびBIMIは、認証プロトコルである。 電子メールのセキュリティは、信頼できるエンティティのみがお客様のドメインを使用して電子メールを送信することを許可することによって、電子メールのセキュリティを確保します。SPFは、お客様の代わりにメールを送信するために信頼するIPアドレスとサーバーの広範なリストを作成し、公開する必要があります。リスト外のIPアドレスやサーバーからのメールは、SPF認証チェックに失敗します。

DKIMは、公開鍵と秘密鍵のペアを使用して送信者の真正性を検証する。DMARCは、SPFおよび/またはDKIM認証チェックに失敗した電子メールをどのように扱うかを受信者のメールボックスに指示する。 BIMI は、認証された電子メールの横に、視覚的な識別マークとして御社の公式ロゴを表示することを可能にします。

メール認証の適合性を調べるには、当社の メールヘッダーアナライザー.自動生成されたメールアドレスに送信される空のテストメールを通して、プロトコルを評価することができます。

7.不審な支払依頼を指摘するよう従業員に促す

従業員には、基本的なBEC詐欺の兆候を読み取る訓練をし、「ASAP」「5分以内」などの言葉で緊急性を演出するメールについて、説明を求めるよう促す必要があります。この場合、少し古風な方法で、直接会うか、電話で確認を取るのがよいでしょう。 

8.不正を当局に報告する

BEC詐欺やその他の詐欺は、赤旗を発見したらすぐに関係当局に報告しましょう。あなたの状況では改善が不可能でも、当局は複数の報告から深く掘り下げ、洞察を得ることができます。 

中小企業の経営者であれば、電子メール認証サービスに投資したり、チーム向けに意識向上セッションを実施したりすることで、BEC詐欺対策への第一歩を踏み出すことができます。以下の方法があります。 お問い合わせメール認証の導入、管理、監視をお手伝いします。

最新記事 by Ahona Rudra(全て見る)
なぜDMARCをDIYしないほうがいいのか?なぜDMARCをDIYしない方がいいのかチャネルネクストアンドパワードマルク顧客ドメインの確保:チャネルネクストのMSPサクセスストーリー(Powe...