宅配業者を装ったフィッシング詐欺は、年々巧妙化してお
同じ会社の他の部署の人から、いきなりログイン情報を要求されたり、おかしなことはありませんか?
それってもしかしたら、ビジネスメール詐欺かもしれません。
ビジネスメール詐欺(BEC)は、サイバー犯罪者が会社の最高経営責任者(CEO)などの信頼できる人物になりすまし、特定の個人に対して機微情報や金銭を要求するメールを送信する標的型サイバー攻撃です。
この記事では、ビジネスメール詐欺の被害に合わないために最新の手口や、実際のビジネスメール詐欺の実例や、それらの最新の手口に対する対策方法を紹介します。
ビジネスプラン14日無料トライアルでKeeperが企業の安全を支えますビジネスのセキュリティ対策をKeeperで強化!
ビジネスメール詐欺とは
ビジネスメール詐欺とは、詐欺師が企業の従業員、特に財務などの部署に関わる人々をだまして、お金を不正に振り込ませたり、重要な機密情報を漏らさせたりする、なりすまし詐欺の一種です。この詐欺では、詐欺師が企業の上司や取引先を装い、メールで従業員に指示を出します。例えば、会社の幹部になりすまし、急ぎで特定の口座にお金を振り込むように言ったり、取引先の代表を装って支払い情報の変更を依頼したりします。また、従業員に偽装して、他の従業員の個人情報を手に入れることもあります。
ビジネスメール詐欺の手口とそのプロセス
ビジネスメール詐欺(BEC)の手口や方法について、サイバー犯罪者の戦略が詳細に解説します。ビジネスメール詐欺は、他のタイプのサイバー攻撃よりもターゲットがしぼられており、より巧妙で騙されやすいです。
1. ターゲットの選定と身辺調査
ビジネスメール詐欺におけるターゲットの選定と調査の段階では、犯罪者はまず攻撃対象となる企業を慎重に選び出します。選ばれた企業の業界特性、組織構造、従業員の役割や責任、さらには内部での通信プロセスに至るまで、細部にわたって調査を行います。この徹底した調査によって、犯罪者はターゲット企業の運営方法を理解し、次の段階である信頼できる身元の偽装に役立てる情報を収集します。
2. 偽装するなりすましターゲットの決定
ビジネスメール詐欺において、犯罪者が行う信頼できる身元の偽装は、事前の調査結果を活用して行われます。この段階では、彼らは選定した企業内で尊敬され、信頼されている個人、例えば経営者、上級マネージャー、ベンダーなどになりすますことを目指します。これを実現するために、彼らは偽のメールアカウントを慎重に作成し、実際の人物と非常に似たようなメールアドレスや署名を用いて、受信者を騙します。
3. 説得力のあるメールの作成
ビジネスメール詐欺の過程で、犯罪者が信頼できる身元になりすましてから行う重要なステップは、説得力のあるメールの送信です。この段階では、犯罪者は緊急性を伴うメッセージを用意し、ターゲットとなる財務担当者や人事担当者に送信します。メールの内容は、通常、急を要する支払いの指示や機密情報の要求など、受取人が迅速に行動を起こす必要があるような事項を含んでいます。犯罪者は、メールの文面やトーンをターゲットが日常的に受け取る通信と同様に見せかけることで、受信者の疑念を最小限に抑え、迅速な対応を促します。
4. プリテキスト(偽のストーリー)の使用と送信
ビジネスメール詐欺の一環として、犯罪者はプリテキスト、すなわち偽のストーリーを巧みに用いてターゲットを欺きます。この戦略の目的は、ターゲットが通常の検証プロセスや確認手順を飛ばしてしまうような状況を作り出すことにあります。犯罪者は、非常に説得力のある、そして緊急性を伴う物語を作成します。例えば、突発的な財政的な危機や、期限の厳しいビジネス取引など、ターゲットが即時の行動を取ることを強いられるような状況を描きます。これにより、ターゲットは通常行うべき慎重な検討や上司への確認を省略し、詐欺師の要求に応じてしまう可能性が高くなります。またストーリーだけでなく、正当であると見せかけるために、なりすましサイトを作成することもあります。
5. 重要な機密情報や金銭の不正取得
ビジネスメール詐欺のプロセスにおいて、ターゲットが犯罪者の要求に応じた後、詐欺師は金銭の不正転送や機密情報の盗取を行います。この段階では、詐欺師はターゲットによって行われた信頼の裏切りを利用して、不正に資金を自分のアカウントに振り込ませたり、重要なビジネス情報や他の従業員の個人識別情報(PII)などを入手します。
6. 追跡と検知の回避
ビジネスメール詐欺を行った後、犯罪者は検出を回避し、追跡されるリスクを最小限に抑えるために、慎重に行動します。この段階では、彼らは行った攻撃の証拠やデジタル足跡を迅速に消去することに専念します。これには、使用したメールアカウントの削除、通信記録の消去、さらには偽の身元や取引に関連する全ての痕跡を隠蔽することが含まれます。
ビジネスメール詐欺とフィッシング詐欺:その違いとは?
フィッシングとは、サイバー犯罪者がソーシャルエンジニアリング手法を使用して、ターゲット被害者に対し、なりすました人物であると信じ込ませるサイバー攻撃の一種です。これは、アカウントのログインやクレジットカード番号などの機密情報を入手するために行われます。
ビジネスメール詐欺は、スピアフィッシングとして知られるフィッシング攻撃の一種です。スピアフィッシングは、通常、悪質なメールを介して、特定の個人やグループをターゲットにします。BEC攻撃は、一般的なフィッシング攻撃と異なり、ターゲットが絞られており、サイバー犯罪者がその特定のターゲットを選ぶには理由があります。
ビジネスメール詐欺の事例
ビジネスメール詐欺の事例をいくつか紹介します。
CEO詐欺
CEO 詐欺とは、ターゲットにされた従業員の信頼を得るために、サイバー犯罪者が組織の CEO になりすますことです。潜在的なターゲットとの信頼関係が構築されると、サイバー犯罪者は金銭を送ったり、機密情報を共有したりするよう求めます。
よく耳にすることがある一般的な CEO詐欺のひとつは、サイバー犯罪者がターゲットに対し、一定金額のギフトカードを購入して、カード識別番号を提供するよう依頼するギフトカード詐欺です。サイバー犯罪者は、その番号を使用して、ギフトカードを換金します。
メールアカウント侵害(EAC)
メールアカウント侵害は、多くのサイバー犯罪者が ビジネスメール詐欺を実行する際に使用する方法です。EAC を使用すると、サイバー犯罪者は従業員のメールアカウントにアクセスし、連絡先リストを参照して、サプライヤー、パートナー、ベンダーなど価値ある取引先を調べます。連絡したい相手を特定した後、サイバー犯罪者は、偽の請求書の支払いを要求するためにメールを送信します。
ビジネスメール詐欺のリスク
組織が予防的なセキュリティ対策を講じていない場合、ビジネスメール詐欺が壊滅的な被害をもたらす可能性があります。ビジネスメール詐欺を受けた後、組織は著しい金銭的損失、評判の失墜、法的影響も発生します。
ビジネスメール詐欺は、サイバー犯罪者が得る支払いが高額なため、組織が直面するなかでも最も広く行われているサイバー攻撃のひとつです。Microsoft によると、2022年4月から2023年4月の間に、3,500万の ビジネスメール詐欺の試行を検知し、調査しました。平均して、毎日 15万6,000回も ビジネスメール詐欺の試みが行われていました。
ビジネスメール詐欺を防ぐ方法
組織がビジネスメール詐欺の影響を防止または軽減する方法をいくつか紹介します。
強力でユニークなパスワードを使用する
従業員のメールアカウントには、ユニークで強力なパスワードを使用し、他のアカウントに再利用してはいけません。従業員は覚えやすい弱いパスワードを使用することが多く、解読されやすいため、従業員にパスワードの作成を任せることはリスクになります。
従業員による弱いパスワードの使用を防ぐために、組織はビジネスパスワードマネージャーに投資する必要があります。ビジネスパスワードマネージャーは、従業員によるすべてのパスワードの作成、管理、安全な保管を支援するスケーラブルなツールです。また、必要に応じて、同僚や請負業者とパスワードを安全に共有することもできます。ビジネスパスワードマネージャーは、IT チームがパスワードを監査し、脆弱または漏洩したものを識別しやすくします。
従業員にMFAを使用するように要求する
多要素認証(MFA)は、利用可能な場合はいつでもアカウントに追加すべきセキュリティの追加レイヤーです。MFAは、アカウントにログインしようとする人が申告したとおりの人であるかを確認します。セキュリティ侵害や ビジネスメール詐欺が発生した場合、MFAはサイバー犯罪者がアカウントにアクセスするのを防ぎます。犯罪者は自分が誰であるかを証明できないからです。
ビジネスパスワードマネージャーは、IT チームが従業員のアカウントでMFA使用を強制して、より安全性を高めることを可能にします。
PAMソリューションに投資する
特権アクセス管理(PAM)とは、機密性の高いシステム、データ、アカウントへのアクセスの管理および保護の方法のことです。これには、給与計算システム、管理アカウントなどが含まれます。ビジネスメール詐欺は、機密性の高いシステムにアクセスできる従業員をターゲットにすることが多いため、組織は誤用や漏洩を防ぐために、常に安全に管理することが重要です。
従業員の訓練と教育
組織で ビジネスメール詐欺を防ぐ最善の方法のひとつが、サイバーセキュリティのベストプラクティスについて、従業員にトレーニングを行い、教育することです。従業員が SNSのアカウントで過剰共有すると、サイバー犯罪者がその情報を利用してターゲット攻撃を開始できるため、そうしないように従業員を教育します。また、ビジネスメール詐欺に簡単に巻き込まれないように、ビジネスメール詐欺に気付く方法を従業員に教える必要があります。
これら 2つの内容の他にも、従業員を訓練し、教育する必要がある多くのサイバーセキュリティのベストプラクティスがあります。また、従業員が最新のサイバー脅威に精通するように、最新のサイバーセキュリティに関するニュースを常に把握するように指導します。
まとめ:ビジネスメール詐欺に対する保護を維持する
ビジネスメール詐欺は、小規模から大規模までのあらゆる組織にとって継続的な脅威です。このような脅威に対処するために、組織は常に警戒を怠らず、パスワード管理ツールや特権アクセス管理(PAM)ソリューションなどの先進的なサイバーセキュリティ対策を導入することが不可欠です。
特に注目すべきPAMソリューションの一例として、KeeperPAM™が挙げられます。KeeperPAM™は、エンタープライズパスワード管理(EPM)、Keeper Secrets Manager(KSM)、そしてKeeper Connection Manager(KCM)という3つの強力なセキュリティソリューションを一つの統合プラットフォームにまとめたものです。このプラットフォームを活用することで、組織はパスワード、機密情報、リモート接続のセキュリティを効果的に強化することが可能になります。
無料版お試し版を配布しているので、まずは無料体験版をリクエストしてお試しください。