ビジネスメール詐欺(BEC)とは、ハッカーが企業のメールアカウントにアクセスしたり、正規のメールアカウントになりすまして、アカウント所有者になりすまし、企業に対して詐欺を働くことです。営利団体、政府機関、非営利団体を標的とするBEC攻撃は、膨大なデータ損失、セキュリティ侵害、金融資産の侵害につながる可能性がある。サイバー犯罪者は通常、多国籍企業や企業レベルの組織に狙いを定めているというのは一般的な誤解で、最近の中小企業も大企業と同様にメール詐欺の標的になっています。被害者のメールアカウントを奪うことは信頼に足る。また、なりすまし攻撃と呼ばれることもあり、攻撃者は、CFOやCEO、ビジネス・パートナーなど、ターゲットが暗黙のうちに信頼しているような権威的な立場の人物を装って、企業からの詐取を狙います。
攻撃者は、しばしばタイポスクワッティング(例:amazon.comではなくamaz0n.com)やそっくりドメインなどのテクニックを使って、社内ネットワーク上のメールアドレスとほぼ同じメールアドレスを持つアカウントを設定する。BECは「マンインザメール攻撃」とも呼ばれています。基本的なBEC攻撃は、企業の正当な電子メールアドレスから送信されているように見えるため、ハッカーが使用する疑わしいURLへの埋め込みリンクを追跡することが難しく、検出が非常に困難であるため危険です。
FBIがビジネスメール詐欺(BEC)を「260億ドル規模の詐欺」と分類したことは、企業が被る平均的なコストを考えれば、驚くにはあたらない。 件あたり501万ドル脅威は拡大する一方です。ビジネスメール詐欺(BEC)攻撃は、架空または正規のビジネスメール・アドレスを使用する従業員を標的としています。被害額 18億ドル以上 2020年にBEC詐欺師が稼いだ金額は18億ドルを超え、他のどのサイバー犯罪よりも多く、米国はこの影響の主要拠点となっています。BEC攻撃は世界中の組織の70%以上に影響を与え、毎年数十億ドルの損失をもたらしている。
主なポイント
- BEC(Business Email Compromise)は、あらゆる規模の組織を標的とした巧妙ななりすまし攻撃で、信頼できるエンティティを装った偽の電子メールによる詐欺を目的としています。
- BECはソーシャル・エンジニアリングに大きく依存しており、CEO詐欺、偽の請求書、そっくりなドメインなどの手口を使って従業員を操り、資金を振り込ませたり、機密データを漏らしたりする。
- DMARC(SPFとDKIM付き)を実装し、`p=reject`のポリシーで実施することは、ドメインのなりすましを防ぎ、不正なメールをブロックするために非常に重要です。
- 従業員教育、厳格な支払い確認プロトコル、MFA、タイポスクワッティングへの警戒など、多層的な防御戦略が不可欠である。
- TLS暗号化のためのMTA-STSやブランド認知のためのBIMIなど、追加の電子メールセキュリティプロトコルを活用することで、保護と信頼をさらに高めることができます。
ビジネスメール漏洩とは何か、その仕組みは?
BEC攻撃では、脅威者は労働者や信頼できるパートナーを装います。多くの場合、フィッシング、CEO詐欺、偽の請求書、電子メールのなりすましなどの高度なソーシャルエンジニアリング攻撃を使用します。ビジネスメールの侵害に関する知識が高まっているにもかかわらず、脅威者は成功し続けています。例えば、ロシアのサイバー集団Cosmic Lynxは、巧妙に作成されたフィッシングメールを使用した数多くの洗練されたBECキャンペーンを実施しており、検知を困難にしています。さらに、サイバー犯罪者は、Zoomのような一般的なツールになりすまして詐欺メールを送信し、ログイン認証情報を盗むことで、リモートワークのようなトレンドを悪用しています。
2021年の上半期と下半期で、異常な消費者をターゲットにしたこれらの攻撃の頻度は84%増加した。にもかかわらず、2021年下半期には、攻撃率は1,000メールボックスあたり0.82に増加しました。脅威行為者は、BEC詐欺を実行するために特定の段階を踏むことが多い:
- Eメールリストターゲティング:悪意のある行為者は、LinkedIn、データベース、またはウェブサイトから標的の電子メールを収集します。
- 攻撃を開始する:なりすましやそっくりなドメイン、偽の送信者名を使ってメールを送信する。
- ソーシャル・エンジニアリング:攻撃者が信頼できる関係者になりすまし、緊急性を演出して送金やデータ共有を勧誘する。
- 金銭的利益:金銭的な盗難やデータ漏洩が発生する最終段階。
PowerDMARCでセキュリティを簡素化!
ビジネスメール誤送信攻撃の主な種類とは?
FBIによると、BEC詐欺の主な種類は以下のとおりです。
偽りのチャリティー
BEC攻撃では、最も一般的な形態の一つとして、価値ある目的のために募金活動を行うと称する偽の慈善団体からメールが送信されることがあります。このようなメールには、コンピュータをウイルスやその他のマルウェアに感染させるための悪意のあるソフトウェアが添付されていることがよくあります。
旅行に関するトラブル
BEC詐欺のもう一つの手口は、偽の旅行会社から「フライトやホテルの予約に問題が発生した」(通常、誰かが直前で予約をキャンセルしたため)というメールを送りつけるものです。そのメールに含まれる添付ファイルやリンクをクリックし、旅行パンフレットを更新するよう求められます。このような場合、不注意でコンピュータにマルウェアをインストールしたり、ハッカーにデバイスに保存されている機密データへのアクセスを許可したりする可能性があります。
税制上の脅威
この攻撃は、被害者が金銭を支払わない場合、政府機関が法的または公的な措置を取ると脅すというものです。このような詐欺では、法的な影響を避けるために、偽の請求書や支払の要求が行われることがよくあります。
弁護士のなりすまし
これらのメールは、弁護士が逮捕された、あるいは誰かから借りたお金を回収しようとしているなど、法的な問題であなたの助けが必要だと主張しています。このような場合、詐欺師は個人情報を要求し、問題の法的問題(送金など)を「手助け」することができます。
ボガス・インボイス・スキーム
この詐欺では、ある企業が他の企業に請求書を送りますが、通常、かなりの金額が請求されます。請求書には、受取人が受け取っていないサービスや商品の代金を支払う義務があることが記載されています。そして、その請求書の代金を振り込むように要求されることもあります。
データ盗難
この詐欺は、あなたの会社から機密データを盗み出し、競合他社や他の利害関係者に売りつけるというものです。また、要求に応じないとデータを公開すると脅す場合もあります。
BEC攻撃の仕組み
BEC攻撃の仕組みは以下の通りです。
- なりすましメールアカウントやウェブサイト -攻撃者は、正規のメールアドレスやウェブサイトになりすまし、時にはタイポスクワッティングやそっくりドメインなどのテクニックを使います。このアカウントから、銀行口座番号や暗証番号などの金融情報を要求したり、送金を要求したりするフィッシングメールを1通以上送信します。DMARC、SPF、DKIMなどのメール認証プロトコルを使用することで、ハッカーによるドメインのなりすましを防ぐことができます。
- スピア・フィッシング・メール - スピア・フィッシング・メールは、特定の従業員(多くの場合、財務や人事に携わる従業員)に直接送信される、高度に標的化されたメールです。多くの場合、社内の誰か(役員など)からの内部連絡を装っており、「緊急の電信送金」や「緊急の請求書」といった件名で、機密データや早急な対応を要求する内容が記載されています。
- マルウェアの使用 -攻撃者は、悪意のあるリンクやフィッシングメールの添付ファイルを介して、被害者のコンピュータに悪意のあるソフトウェア(マルウェア)をインストールします。マルウェアを使用して、アクティビティを追跡したり、キー入力をキャプチャしたり(キーロガー)、スクリーンショットを撮ったり、システムやネットワークに永続的にアクセスしたりします。
企業内メール漏洩を防ぐには?
BEC攻撃が成功すると、ビジネスに多大な損失を与え、大きな損害を与える可能性があります。しかし、次のようないくつかの簡単な手順を踏むことで、これらの攻撃を防ぐことができます。
1.DMARC、SPF、DKIMによるドメインの保護
Domain-based Message Authentication, Reporting and Conformance (DMARC)、Sender Policy Framework (SPF)、DomainKeys Identified Mail (DKIM)などのメール認証プロトコルは不可欠です。SPFは、ドメインのメール送信を許可するメールサーバーを指定することができます。DKIMは電子メールにデジタル署名を追加し、受信者が電子メールが改ざんされていないことを確認できるようにします。
DMARCはSPFとDKIMの上に構築されます。DMARCは、SPFとDKIMの上に構築され、プロトコルを使用することで、メールチャネルの可視性を向上させるとともに、送信者の検証やドメインのアライメントを通じて、どの送信元が自分のドメインに代わってメールを送信しているかを特定することができます。DMARCは、ドメイン所有者がSPFまたはDKIMチェックに失敗したメールを受信者がどのように処理すべきかを指定することを可能にします。
BECを効果的に防ぐには、DMARCをエンフォースメントポリシーとともに実装する必要があります。ポリシーとは
p=none
:配信に影響を与えることなく電子メールのトラフィックを監視します。BECからの保護はありません。p=quarantine
:不審なメールを受信者の迷惑メールフォルダまたは迷惑メールフォルダに送信します。p=reject
:認証チェックに失敗したメールを完全にブロックします。これは、BECを最大限に保護するために推奨されるポリシーです。
DMARCの実装 を使用するには、DNSで正しい形式のSPF、DKIM、DMARCレコードを公開する必要があります。推奨されるDMARCレコードは以下のようになります: v=DMARC1; p=reject; rua=mailto:[email protected]; ruf=mailto:[email protected]; fo=1;
このポリシーは、失敗した電子メールを拒否し、監視のために指定されたアドレスに集約(rua)とフォレンジック(ruf)レポートを送信します。なりすましメールが受信者の受信トレイに届かないようにすることで、BECを効果的に最小限に抑えることができるのは、拒否の実施ポリシーだけです。アンチスパムフィルターがインバウンドフィッシングから保護するのに対し、DMARCはアウトバウンドフィッシングで使用されるドメインから保護します。 フィッシングとなりすまし を攻撃する。
DMARCレポート(集計およびフォレンジック)による定期的な監視は、電子メールの流れを追跡し、認証の問題を特定し、なりすましの可能性を発見するために非常に重要です。
2.フィッシング対策
悪意のあるリンク、添付ファイル、ソーシャル・エンジニアリングの兆候について受信メールをスキャンするフィッシング対策ソフトウェアやメール・セキュリティ・ゲートウェイを使用し、ユーザーに届く前に脅威をブロックする。
3.職務の分離と支払い手順
重要な機能、特に電信送金のような金融取引は、一人だけで行わないようにする。支払承認のための厳格なプロトコルを策定し、特に緊急の依頼や支払内容の変更を伴う依頼には、複数の承認と二次的な確認(電話や対面での確認など)を義務付ける。
4.外部メールのラベル付け
社外から発信された電子メールに明確なラベルを付けるよう、電子メールシステムを設定する。これにより、従業員は社内の送信者になりすまそうとする不審な可能性のあるメッセージを素早く特定することができます。
5.メールアドレスと詳細情報を注意深く調べる
送信者のメールアドレスが微妙に違っていないか、タイポスクワッティングや類似ドメインがないか、注意深く調べるよう従業員に教育する。返信先」のアドレスが「差出人」のアドレスと一致しているかチェックする。緊急性や機密性を要求するメールに注意する。
6.従業員への教育
BEC攻撃に対する最善の防御策は、従業員の教育と意識向上です。従業員は、BECの脅威、その仕組み、一般的な手口(緊急性、権威者のなりすましなど)、どのように標的にされるかについて学ぶ必要があります。従業員は、電子メールの使用、データ共有、および確認手順を含む金融取引に関する会社のポリシーを理解する必要があります。フィッシングの模擬テストを実施し、認知度を測定し、さらにトレーニングが必要な個人を特定する。不審な電子メールや要求があれば、報復を恐れずに直ちに報告するよう従業員に奨励する。
7.多要素認証(MFA)の有効化
すべての電子メールアカウントとその他の重要なシステムにMFAを導入する。MFAはパスワード以上のセキュリティ層を追加し、認証情報が盗まれた場合でもアカウント漏洩のリスクを大幅に低減します。セキュリティ強化のために、リスクベースまたはロケーションベースのMFAを検討する。
8.自動メール転送の禁止
組織のメールシステム設定で、外部アドレスへのメールの自動転送を無効にする。ハッカーはこの機能を悪用し、アカウントを侵害した後、通信を無言で監視したり、機密情報をリダイレクトしたりする可能性があります。
9.追加セキュリティプロトコルの実装
電子メールのセキュリティをさらに強化する
- MTA-STS(Mail Transfer Agent Strict Transport Security):転送中の電子メールのTLS暗号化を保証し、盗聴や中間者攻撃から保護します。TLS-RPT(TLSレポート)を使用して、TLSネゴシエーションの成功と失敗のレポートを取得します。
- BIMI(メッセージ識別用ブランドインジケータ):認証された電子メールにお客様の認証済みブランドロゴを添付することで、ブランドの想起を高め、対応する電子メールクライアントで受信者が正当なメッセージを視覚的に識別できるようにします。BIMIにはDMARCの実施が必要です。
- SPFレコードの管理:SPFレコードが10DNSルックアップ制限内に収まるようにし、検証エラーを回避しましょう。SPFフラット化のようなツールは、複雑なレコードの管理に役立ちます。
10.不正行為の報告
BEC詐欺の疑いがある、または被害に遭った場合は、関係当局(米国ではFBIのIC3など)および金融機関に直ちに報告してください。報告することで、法執行機関がこれらの犯罪を追跡し、資金を回収できる可能性があります。
結論
ビジネスメール詐欺は、最も高度なセキュリティ対策さえもすり抜け、多くの場合、CEOやCFOのような重要人物を標的として、巧妙に作られた1通のメールを送りつけます。結局のところ、BECはビジネスの世界で依然として蔓延している、真に陰湿な攻撃手段なのです。つまり、組織の規模に関係なく、十分に注意しなければならないものなのです。強固な防御を構築するには、DMARCのような技術的コントロール、強固な内部手順、継続的な従業員教育を組み合わせる必要があります。
DMARCアナライザ DMARCアナライザーツールを使用して、あなたのドメインのメールが確実に配信されるようにし、偽のメールを送信しないようにしましょう。なりすましを止めることは、単にブランドを守ることではありません。SPF、DKIM、BIMI、MTA-STS、TLS-RPTを含む包括的な保護が可能なメール認証スタックの重要な部分を実装することで、ビジネスの存続を保証しているのです。
- DMARCの誤検知:原因、対策、予防ガイド- 2025年6月13日
- ニュージーランド政府、新しいセキュアメールフレームワークでDMARCを義務化- 2025年6月9日
- なりすましメールとは?- 2025年5月29日