ハッカーが企業の電子メールアカウントにアクセスし、アカウント所有者になりすまして企業に対して詐欺を働くことです。被害者の電子メールアカウントは信頼できるものである。
攻撃者は、社内ネットワーク上のメールアドレスとほぼ同じメールアドレスを持つアカウントを頻繁に設定する。BECは、"man-in-the-email attack "とも呼ばれている。
FBIがビジネスメール漏洩(BEC)を「26ドルのビルセリオン詐欺」と分類したことは、企業が被る平均的なコストを考えれば、驚くには値しないでしょう。 1件の侵害につき501万ドルそして、その脅威は拡大する一方です。BEC(Business Email Compromise)攻撃は、架空のまたは正規のビジネスメールアドレスを使用する従業員を標的としています。被害額 18億ドル以上 これは、他のどのサイバー犯罪よりも多い数字です。
ビジネスメール漏洩とは何か、その仕組みは?
BEC攻撃では、脅威の主体は、労働者や信頼できるパートナーを装います。そして、機密情報へのアクセス許可や送金など、ある行為を行うよう被害者を説得します。脅威者は、ビジネスメールの侵害に関する知識の増加にもかかわらず、成功を収め続けています。
Abnormalな消費者をターゲットとしたこれらの攻撃の頻度は、2021年の上半期と下半期で84%という驚異的な増加を示しました。にもかかわらず、2021年下半期には、突撃率が1000メールボックスあたり0.82件に増加しました。
ビジネスメール誤送信攻撃の主な種類とは?
FBIによると、BEC詐欺の主な種類は以下のとおりです。
偽りのチャリティー
BEC攻撃では、最も一般的な形態の一つとして、価値ある目的のために募金活動を行うと称する偽の慈善団体からメールが送信されることがあります。このようなメールには、コンピュータをウイルスやその他のマルウェアに感染させるための悪意のあるソフトウェアが添付されていることがよくあります。
旅行に関するトラブル
BEC詐欺のもう一つの手口は、偽の旅行会社から「フライトやホテルの予約に問題が発生した」(通常、誰かが直前で予約をキャンセルしたため)というメールを送りつけるものです。そのメールに含まれる添付ファイルやリンクをクリックし、旅行パンフレットを更新するよう求められます。このような場合、不注意でコンピュータにマルウェアをインストールしたり、ハッカーにデバイスに保存されている機密データへのアクセスを許可したりする可能性があります。
税制上の脅威
この攻撃は、被害者が金銭を支払わない場合、政府機関が法的または公的な措置を取ると脅すというものです。このような詐欺では、法的な影響を避けるために、偽の請求書や支払の要求が行われることがよくあります。
弁護士のなりすまし
これらのメールは、弁護士が逮捕された、あるいは誰かから借りたお金を回収しようとしているなど、法的な問題であなたの助けが必要だと主張しています。このような場合、詐欺師は個人情報を要求し、問題の法的問題(送金など)を「手助け」することができます。
ボガス・インボイス・スキーム
この詐欺では、ある企業が他の企業に請求書を送りますが、通常、かなりの金額が請求されます。請求書には、受取人が受け取っていないサービスや商品の代金を支払う義務があることが記載されています。そして、その請求書の代金を振り込むように要求されることもあります。
データ盗難
この詐欺は、あなたの会社から機密データを盗み出し、競合他社や他の利害関係者に売りつけるというものです。また、要求に応じないとデータを公開すると脅す場合もあります。
BEC攻撃の仕組み
BEC攻撃の仕組みは以下の通りです。
- なりすましの電子メール・アカウントまたはウェブサイト -攻撃者は、正規の電子メール・アドレスまたはウェブサイトになりすまします。このアカウントから、銀行口座番号や暗証番号などの金融情報を要求するフィッシングメールを1通以上送信します。DMARCを 使用することで、ハッカーによるドメインのなりすましを防ぐことができます。
- スピアフィッシングメール - スピアフィッシングメールは、従業員の勤務先に直接送られる、高度な標的型メールです。多くの場合、社内の誰か(役員など)からの内部連絡を装い、「緊急送金」「緊急請求書」などの件名で、機密データをすぐに要求する内容になっています。
- マルウェアの使用 -攻撃者は、被害者のコンピュータに悪意のあるソフトウェア(マルウェア)をインストールし、それを使用して、被害者の行動を追跡したり、キーストロークをキャプチャしたり、スクリーンショットを撮影したりすることができます。攻撃者がコンピュータに物理的にアクセスできる場合は、キーロガーがコンピュータ・システムにインストールされることもあります。
企業内メール漏洩を防ぐには?
BEC攻撃が成功すると、ビジネスに多大な損失を与え、大きな損害を与える可能性があります。しかし、次のようないくつかの簡単な手順を踏むことで、これらの攻撃を防ぐことができます。
1.DMARCでドメインを保護する
これらのBECメールは、DMARを活用することでブロックすることができます。 DMARC.組織は、メールチャネルの可視性を高めるとともに、プロトコルを使用することにより、送信者の検証およびドメインの整合性によって、どのソースがそのドメインの代わりにメールを送信しているかを特定することができます。組織は、この情報を使用して、信頼できるすべてのソースが正しく検証されるようにすることができます。組織はp=rejectを実装することができます。 DMARC ポリシーは、すべての正当な送信元が完全に認証されている場合に実施することができます。
このポリシーにより、悪意のあるメールはすべて拒否され、受信者の受信トレイに届かなくなるため、ビジネスメールの侵害メールが顧客に届くリスクを低減することができます。
2.フィッシング対策
フィッシング対策ソフトを使用し、受信したメールに悪意のあるリンクや添付ファイルがないかスキャンして、ネットワークに感染させる。
3.職務の分離
重要な機能が一人だけで実行されないようにする。これにより、従業員が不正な行動を強要されるリスクを低減することができます。
4.外部メールのラベル付け
すべての外部メールにそのようなラベルを付けるか、安全なメールゲートウェイ経由で転送し、組織内のネットワークから直接送信されたように見えないようにする。
5.メールアドレスを慎重に検討する
メールアドレスを注意深く調べる。知っている人からのものであれば、メールを開いて読んでみてください。知らない人からのものであれば、なぜあなたに連絡をするのか聞いてみてください。また、メールの件名にそのメールに関する情報が記載されているかどうかも確認しましょう。件名は受信トレイにあるものと一致している必要があります。
6.従業員への教育
BEC攻撃に対する最善の防御策は、従業員教育である。従業員には、BECの脅威、その仕組み、どのように狙われるかについて教える必要があります。また、ビジネスメールの使用や許可されたメールユーザーに関する会社のポリシーについても認識しておく必要がある。フィッシング・テストのシミュレーションを実施し、その結果を従業員記録ソフトウェアに追加することで、どの従業員に追加のセキュリティ意識向上トレーニングが必要かについて、データに裏打ちされた賢い判断を下すことができます。
結論
ビジネスメール詐欺は、最も高度なセキュリティ対策さえもすり抜け、通常1通のメールで無防備なCEOやCFOを陥れるものです。結局のところ、BECはビジネス界に蔓延している真に陰湿な攻撃手段なのです。つまり、十分に注意する必要があるのです。
使用する DMARCアナライザーを使用して、ドメインのメールが確実に配信されるようにし、偽のメールを送信しないようにしましょう。スプーフィングを止めることは、単にブランドを守ることではありません。あなたのビジネスの存続を保証することになるのです。
- ブロックチェーンは電子メールのセキュリティ向上に役立つか?- 2024年5月9日
- データセンター・プロキシプロキシ界の主力マシンを公開- 2024年5月7日
- Kimsuky、DMARCの「なし」ポリシーを悪用した最近のフィッシング攻撃について- 2024年5月6日