Eメールを取巻く 脅威環境の変化とは Vol. 2
最も一般的なビジネスメール詐欺の脅威とは

2020年のベライゾンエンタープライズソリューションズが提供しているデータ漏洩/侵害調査報告書によると、ハッキングによるデータ漏洩/侵害の80%以上は、資格情報の盗難によって引き起こされています。ビジネスEメールアカウントが侵害された場合、組織全体に被害を及ぼす可能性があります。

Eメールシステムを攻撃から守るためには、攻撃の仕組みを理解することが重要です。このブログ投稿では、現在の企業が直面している最も一般的な脅威についてご説明します。

ビジネスメール詐欺(BEC)

BECはEメール詐欺の一種であり、攻撃者は企業幹部になりすまし、受信者に不正送金などのビジネス上の処理を強要しようとします。

攻撃者は、これらの詐欺を次の方法で実行する可能性があります:

• メールまたはWebサイトのなりすまし：正規のメールまたはWebサイトを模倣
• スピアフィッシングメールの送信
• マルウェアの展開

Europol によると、これらは最近、驚くほど専門的で説得力を備えたものになっています。8 脅威を取巻く環境が途方もないスピードで進化し続けているため、BEC攻撃への対処はヨーロッパの法執行機関にとって最優先事項となりました。

BEC攻撃の4類型

以下は、注意しておくべき4つの基本的なBEC攻撃のタイプです:

1. 偽の請求書: このタイプの攻撃には通常、企業が信頼する外部のサプライヤーへのなりすましが含まれます。なりすましにはソーシャルエンジニアリングが使われ、多くの場合なりすましメールが使われます。詐欺は、請求書の支払い先を、そのサプライヤーの正規の口座ではなく、詐欺のための偽口座に送金するよう要求することで実行されます。昨年、GoogleとFacebookはこの詐欺により、約1億ドルを失いました。
2. 偽の送金依頼: 送金詐欺の攻撃者は通常、標的とする企業のCEO、CFO、COOなどの上級幹部になりすまし、緊急かつ機密の案件の処理を依頼しているように見せかけます。これらの処理には、彼らの管理下にある口座（犯罪用口座など）への送金依頼が含まれています。場合によっては、これらの依頼は企業が契約する金融機関に直接行われ、資金を至急送金するよう要求します。
3. 偽の弁護士: このタイプの詐欺では、攻撃者は顧問弁護士または外部の法律事務所の弁護士を装って、狙った従業員または企業にコンタクトします。偽の送金依頼と同様に、彼らは緊急かつ機密の案件の処理を装い、担当者による資金の移動が必要であると主張します。企業が実際に取り組んでいる合併や買収のような案件を参照することで、これらの要求をより信頼しやすいものにすることもあります。こういった攻撃は通常、業務終了間際に行われます。担当者が疲れており、間違いを起こしやすい、すなわち詐欺の犠牲者になりやすいためです。
4. 人事情報詐欺: このタイプの攻撃では、攻撃者は、人事部など企業の特定の機能を担う部門の人物になりすまします。しかし、前述の詐欺とは異なり、彼らは金銭の代わりに個人情報(PII)を要求します。入手した情報を、金銭の取得やもっと大規模な攻撃に利用する可能性があり、企業にさらに大きな損害を与える可能性があります。 

BEC詐欺で憂慮すべき点は、成功率が高いことです。侵害されたEメールアカウントから実行された場合は、さらに信ぴょう性が高まります。

米国インターネット犯罪苦情センター（IC3）によると、米国でのBEC詐欺による被害は、2019年だけで17億ドルに上っています。

メールアカウント侵害（EAC）

EACは高度な攻撃であり、攻撃者はさまざまな戦術、手法、および手順（TTP：Tactics, Techniques, and Procedures）を使用してユーザーのEメールアカウントを侵害し、正規のアカウントにアクセスしようとします。EACはBECに似ていますが、EACとBECの違いは、Eメールシステムそのものが侵害されたかどうかにあります。

• BEC：メールシステムのセキュリティは侵害せずに、あなたになりすまします。BEC攻撃者はメールシステム自体は侵害せず、ドメインやディスプレイネームの詐称、類似ドメインなどのID詐欺の手法を使用してメールを偽装して標的を騙し、攻撃者の用意した口座へ送金を促します。
• EAC：メールシステムを侵害し、メールアカウントを乗っ取ってあなたになりすまします。EACの攻撃者は正規のアカウントを乗っ取ってそれを用いて内部から攻撃をするため、企業のメ ールフィルターやユーザー認証では見つけることができません。アカウントは正規のもので「信頼されている」ため、フィッシングメールにより内部関係者または外部の顧客に対してメール詐欺を行う場合には、非常に効果的な方法となります。

EACとBECはどちらもソーシャルエンジニアリングに大きく依存しており、特定のユーザーを狙っています。これらの2種類の侵害は相互に絡み合っているため、米国連邦捜査局（FBI）は2017年以降、これらの詐欺を単一の犯罪として追跡しています。

侵害されたEメールアカウントによるEAC攻撃を識別することは困難です。これらの攻撃は、標的となる企業のユーザーや、顧客やパートナーなどの外部ユーザーを標的にする可能性があるため、EAC攻撃はアカウントの正当な所有者や企業にとって重大なリスクとなります。攻撃者はアカウントの所有者になりすますことができるだけでなく、個人の連絡先、進行中のメールのやり取り、保存されている過去のメールへのアクセスも可能になります。

これは、攻撃者はハッキングされた企業のメールアカウントを利用して入手した情報に基づいて、非常にパーソナライズされた効果的な新しい詐欺を実行できるようになることも意味しています。

1. 侵害されたアカウントを使って大規模なフィッシングキャンペーンを行います。ほとんどの場合、アカウントと企業のEメールサーバーの「レピュテーション」の高さがこれらのキャンペーンを成功に導きます。
2. アカウント所有者が企業の上級幹部である場合、送金業務を担当する従業員に、より的を絞った精巧なEメールを送り、不正な送金を実行させることが可能になります。
3. 企業内の支払いに関するメールのやり取りに参加し、今回は別の口座に送金する必要があることを主張し、不正な送金を促します。

クラウドベースのEメールサービスのハッキングや、BECまたはEACに使用されるクレデンシ ャルの盗難が増加しているため、ビジネスクレデンシャルとその使用についてのセキュリテ ィを確保することが重要です。

企業は、多要素認証（MFA）、ユーザーとエンティティの行動分析（UEBA）、およびパスワードマネージャーの使用を含むセキュリティへの多層的なアプローチを実装することにより、ビジネスを安全に保つことができます。

また、クレデンシャルの盗難に対する企業全体のセキュリティ意識向上トレーニングを実施して、従業員がソーシャルエンジニアリング攻撃に陥るのではなく、検知を支援できるようにすることも不可欠です。ただし、マルウェアやネットワークへの侵入などの他の種類の攻撃には、異なる種類の対応が必要になります。

当社の最新のホワイトペーパーで、Eメールセキュリティの詳細をご覧ください。