電子メールは、B2Bのリードジェネレーションや顧客とのコミュニケーションに欠かせないチャネルとして機能していますが、同時に、サイバー攻撃や電子メール詐欺のターゲットとして最も広く狙われているチャネルの1つでもあります。サイバー犯罪者は、より多くの情報や金融資産を盗むために、常に攻撃の方法を革新しています。組織がより強固なセキュリティ対策で反撃し続ける中、サイバー犯罪者は常に戦術を進化させ、フィッシングやなりすましの技術を向上させる必要があります。
2023年、機械学習(ML)や人工知能(AI)を利用したフィッシング攻撃が激増し、従来のメールセキュリティソリューションでは検知されないことが、世界中のセキュリティ研究者によって検知されました。これらの攻撃の主な目的は、人間の行動を操作し、不正な行動(詐欺師の口座への送金など)を実行するように人々を騙すことです。
電子メールを使った攻撃や電子メール詐欺の脅威は常に進化していますが、遅れをとってはいけません。詐欺師の戦術、ツール、マルウェアの観点から、今後数年間に起こるであろうメール詐欺のトレンドを知っておきましょう。このブログ記事を通して、サイバー犯罪者がどのように戦術を展開しているかを紹介し、あなたのビジネスがこのようなメール攻撃を防ぐ方法を説明します。
2023年に注意すべきメール詐欺の種類
1.ビジネスメールの不正アクセス(BEC
COVID-19により、企業はリモートワーク環境を導入し、従業員、パートナー、顧客の間でバーチャルなコミュニケーションに移行することを余儀なくされています。これにはいくつかのメリットがありますが、最も明らかなデメリットは、過去1年間でBECが驚くほど増加していることです。BECとは、メールスプーフィングやフィッシングなどの電子メール詐欺を指す広義の言葉です。
一般的には、サイバー攻撃者が自社のドメイン名を使って、パートナーや顧客、従業員にメールを送り、企業の認証情報を盗んで機密資産にアクセスしたり、電信送金を開始したりするというものです。BECは、過去1年間で70%以上の組織に影響を与え、数十億ドルに相当する企業資産の損失につながっています。
2.進化したメールフィッシング攻撃
フィッシングメールは、信頼できるパートナーや従業員、顧客を騙して、自分から送信されたと思われるメールに記載された悪意のあるリンクをクリックさせ、マルウェアのインストールや認証情報の盗難を引き起こす媒体であることに変わりはありませんが、過去数年間で劇的に進化しています。進化したメール詐欺師は、発見が困難なフィッシングメールを送信しています。非の打ちどころのない件名や間違いのないコンテンツの作成から、高い精度で偽のランディングページを作成することまで、彼らの活動を手動で追跡することは、2023年にはますます難しくなっています。
3.マンインザミドル
攻撃者が、素人でも詐欺とわかるような粗悪な電子メールを送りつけていた時代は終わったのです。最近の脅威者は、通信中の2つの電子メールサーバ間の電子メールトランザクションで日和見的暗号化を使用するようなSMTPセキュリティ問題を利用して、保護された接続を非暗号化にロールバックすることに成功した後、会話を盗聴しているのです。SMTPダウングレードやDNSスプーフィングなどのMITM攻撃は、2023年にますます人気を集めている。
4.CEOの不正行為
CEO詐欺とは、機密情報にアクセスするために、ハイレベルなエグゼクティブをターゲットにして行われているスキームを指します。攻撃者は、CEOやCFOなど実在の人物のIDを取得し、組織内の下層部の人々、パートナーやクライアントにメッセージを送り、機密情報を渡すようだますことでこれを行います。この種の攻撃は、Business Email CompromiseまたはWhalingとも呼ばれます。ビジネスシーンでは、組織の意思決定者になりすまし、より信憑性の高いメールを作成しようとする犯罪者もいます。これにより、簡単にお金を振り込んだり、会社に関する機密情報を要求したりすることができます。
5.COVID-19 ワクチンルアー
セキュリティ研究者は、ハッカーがCOVID-19パンデミックの恐怖を利用しようとしていることを明らかにしました。最近の研究では、サイバー犯罪者の心理が明らかになっており、COVID-19パンデミックにまつわるパニック状態に引き続き関心を寄せていることや、企業のトップを狙ったフィッシングやBEC(business email compromise)攻撃が目に見えて増加していることがわかっています。これらの攻撃を行うための媒体は、COVID-19ワクチンの偽物で、メール受信者の関心を瞬時に高めます。
メールセキュリティを強化するには?
- SPF、DKIM、DMARCなどのメール認証規格に対応したドメインの設定
- DMARCモニタリングからDMARCエンフォースメントへの移行により、BEC、CEO詐欺、進化したフィッシング攻撃から最大限の保護を得ることができます。
- 随時、メールの流れや認証結果を一貫して監視する
- MITM攻撃を軽減するために、MTA-STSでSMTPに暗号化を必須にする。
- SMTP TLSレポーティング(TLS-RPT )により、メール配信の問題について、その根本的な原因の詳細を定期的に通知
- DNSルックアップ数を常に10件以内に抑えることで、SPFパーマラーを軽減
- BIMIを使って、受信者が受信箱の中で貴社ブランドを視覚的に識別できるようにする。
PowerDMARC は、SPF、DKIM、MTA-STS、TLS-RPT、BIMI などのすべてのメール認証プロトコルを一枚のガラスに集約した、単一のメール認証SaaSプラットフォームです。今すぐサインアップして、無料のDMARCアナライザーを 手に入れよう!