過去10年の間に報告されたビジネスメール詐欺（BEC）のインシデントは30万5,000件超に上り、企業に累計550億ドル超の損害をもたらしています。そして現在も、インシデントの件数は増加の一途をたどっています。ビジネスメール詐欺は、なぜフィッシングの戦術としてこれほどまでに成功しているのでしょうか？攻撃者がますます高度な手口を使用するようになった今、組織はどのような防御策を講じれば、リスクを低減できるのでしょうか？今回のブログでは、セキュリティチームの皆様が知っておくべき全ポイントを解説します。

ビジネスメール詐欺（BEC)とは?

ビジネスメール詐欺（BEC）では、攻撃者が特定の人物をたくみに騙して操り、金銭を送金させたり、機密情報を送信させます。通常、ビジネスメール詐欺は電子メールを介して行われますが、SMSの他、音声通話やビデオ通話を介して行われる場合もあります。ビジネスメール詐欺全般における共通点として、大抵の場合、攻撃者は組織の幹部や従業員、ベンダー、取引先などになりすまし、標的にした人物に「正しい相手」とやり取りしていると思わせ、不正送金を行わせたり、機密情報を開示させていることが挙げられます。あなたが送金を依頼された場合、「ナイジェリアの王子」を自称する人物とあなたの上司、どちらからの依頼を信じて応じてしまう可能性が高いでしょうか？

また、一般的なビジネスメール詐欺の手口としては、企業の幹部になりすまして送金を依頼する「CEO詐欺」や、サプライヤーなどのベンダーが使用する電子メールアカウントを侵害し、そのベンダーになりすまして送金先を変更させたり、ネットワークアクセスを提供させる「ベンダーメール侵害」、従業員の給与を他の口座に送金させる「給与支払い詐欺」などが挙げられます。メールや通話、動画を介して行われるこれらの詐欺は、実際のやり取りのパターンを模倣しているため見分けることが難しく、また明らかに不正なリンクや添付ファイルが存在しないため、通常のフィッシング攻撃よりも検知が困難になっています。

攻撃者は、ビジネスメール詐欺を行うために必要な情報をどのように収集しているのか？

攻撃者がビジネスメール詐欺を成功させるためには、標的とするユーザーが信頼しており、疑うことのない人物になりすます必要があります。またそのためには、標的とするユーザーが信頼している人物になりきるための情報を集める「偵察」活動が重要となります。攻撃者は、なりすましに必要な情報を入手するために様々な手法を駆使しています。

ビジネスメール詐欺は、すでに進行中の攻撃の「第2段階」として行われることもあります。その場合、攻撃者は、第1段階でフィッシングやセキュリティ上の脆弱性を悪用して企業の電子メールシステムに不正アクセスし、しばらくの間、社内のやりとりを監視します。この監視活動により、攻撃者は主要な意思決定者や定期的な財務取り引きを把握し、なりすますべき人物の言動や挙動を模倣することができます。その結果、セキュリティアラートはおろか、不審感を持たせることなく、詐欺を実行することが可能となるのです。

多段階型のビジネスメール詐欺には、他のパターンもあります。例えば最近の事例では、Microsoft TeamsのITサポートスタッフになりすまし、信頼を得る手口が報告されています。この手口の場合、攻撃者はまず最初に、標的とするユーザーに大量のスパムメールを送信します（わずか45分間で3,000通ものメールが届いた事例もありました）。次に、攻撃者は「Help Desk Manager」という名称のアカウントを使用し、Microsoft Teams経由でユーザーに連絡を取り、大量のスパムメールが届く事態を解決するために、リモート操作を許可するよう依頼します。そして、ここでユーザーがリモート操作を許可すると、攻撃者がそのアクセスを利用してマルウェアを配信するのです。短時間の間に大量のスパムメールを受け取ることで生じるストレスと、ITサポートスタッフが問題解決に乗り出してくれることへの安心感が組み合わせられることで、標的となったユーザーがリモート操作を許可してしまう可能性が高まります。

また、攻撃者が標的のネットワークに侵入することなく、外部の情報だけで偵察活動を完了することもあります。ソーシャルメディアやホームページ、その他一般公開されているチャンネルを通じて企業の活動を追跡することで、ビジネスメール詐欺に必要なすべての情報を入手することができるのです。ソーシャルメディアに掲載されているプロファイルには、個人の氏名や役職、勤務先、連絡先情報、さらには個人的に関心がある分野や、文体のクセを把握できる情報が含まれています。いずれの情報も、攻撃者がその人物になりすまし、いかにも本物らしいメッセージを作成する際に悪用される可能性があります。

また、AIを使ったディープフェイクの出現により、ビジネスメール詐欺に騙されるリスクが高まっています。実際、イギリスのエンジニアリンググループ「Arup」では、同社CFOになりすました詐欺師に従業員が騙され、2,500万ドルを誤って送金してしまう事件が発生しました。このインシデントでは、詐欺師は偽の音声と映像技術を駆使して、同社CFOになりすましていたということです。近年、ブランドの認知度を向上するために、経営幹部クラスの従業員がLinkedInをはじめとするソーシャルメディアプラットフォームに動画を投稿することが推奨される傾向にあります。しかしそうした動画も、悪意ある第三者の手に渡った場合は、「完全犯罪」を準備するための材料として悪用される可能性があるのです。

組織がビジネスメール詐欺に対して自衛する方法は？

悲観的な話はここまでにしましょう。では、皆さんがビジネスメール詐欺の脅威に立ち向かうためには、どうすれば良いのでしょうか？ビジネスメール詐欺の対策は、多くの場合、攻撃者の電子メールが皆さんの受信ボックスに届いた時点、またはそれ以降のプロセスに着眼しています。具体例としては、以下が挙げられます。

従業員研修：従業員がビジネスメール詐欺のリスクを理解することで、フィッシングやソーシャルエンジニアリング攻撃に騙される可能性を低減することができます。模擬攻撃や定期的なオンライン研修をはじめ、セキュリティ意識の向上を目的とする従業員向け研修を提供することが有用となります。また、送金や機密情報の共有に関する依頼があった場合は、依頼された従業員自身が常に依頼の真偽を確認するよう促すことも重要です。

電子メールのセキュリティ：電子メールの認証プロトコルや、高度なフィルタリング機能は、ビジネスメール詐欺の成否を大きく左右する要素となります。それらの対策を導入することで、不審な電子メールが従業員の受信ボックスに届く前にブロックすることができます。ただし、ビジネスメール詐欺は、ソーシャルメディアやSMS、WhatsApp経由で行われる場合がある点に注意してください。また、AIが進化した現在では、ビジネスメール詐欺が音声や動画で行われる可能性もあります。

送金・支払い依頼の確認：送金や支払い依頼の確認プロセスを見直し、改善を検討します。例えば、1件の送金依頼に対して2人の承認が必要となる「二重承認」を手順に導入したり、送金プロセスに多要素認証を導入し、（信頼できる人物の）電話番号による承認を送金手順の一環に組み込むことも有用です。一般的には、送金の全プロセスを電子メールだけで承認できる場合は、リスクが高いといえます。

KELAのBRAND CONTROLで、ビジネスメール詐欺を早期検知＆防御

実際のところ、ビジネスメール詐欺対策が導入されるタイミングは後手に回っているうえ、攻撃者と企業のネットワークの間で、あくまで防御の一段階として機能するにとどまっています。また、詐欺師が送信した詐欺メールがメールフィルターをすり抜けたり、従業員が誤って詐欺メールに対応してしまうなど、詐欺師にとってラッキーなハプニングが起こる可能性もあります。ビジネスメール詐欺の対策は、不審な電子メールが従業員の受信ボックスに届くよりももっと前の段階で導入する必要があります。組織が実際に効果のある警戒態勢を実現するためには、詐欺師らの二歩先を行き、偵察段階で攻撃の兆候を察知する必要があるのです。では、どうすれば察知することができるのでしょうか？

ビジネスメール詐欺のリスク情勢を一変させる、KELAのソリューション「BRAND CONTROL」がその答えとなります。BRAND CONTROLは、組織のドメインに似せたメールドメインの登録、役員名を用いたSNSアカウントの作成、ロゴやスクリーンショットといったブランド資産の不正使用など、ブランドの悪用を継続的に監視し、検知した場合は即座にアラートを送信します。また、DMARCのフォレンジックレポートなどのソースから技術的情報を収集し、モバイルアプリマーケット上で貴社ブランドの悪用状況を監視し、ダークウェブ上で貴社に言及しているやり取りを検知します。

上記の情報に着眼した対策をとることで、ビジネスメール詐欺が実際に行われた後ではなく、その初期段階で能動的に特定し、阻止することが可能となります。また、従業員の皆さんをビジネスメール詐欺に対する「最初で唯一の防御線」というプレッシャーから解放することができます。



KELAのBRAND CONTROLの詳細については、こちらをご覧ください。ブランドの悪用やビジネスメール詐欺に対して能動的な防御を検討されている場合は、こちらからお問い合わせください。