電子メールへのアクセスが容易になったため、年々巧妙化する悪用が増加している。ビジネスメール侵害(BEC)攻撃は、2021年に米国だけで推定24億ドルの損失を組織に与えたとFBIは報告している。このドメインの悪用は世界中で260億ドル以上の損失をもたらしており、人々のリモートワークの増加に伴い、着実に増加すると予想されている。
ビジネスメールの漏洩とは?
BECとは、電子メール詐欺を利用して組織を欺くサイバー犯罪の一形態である。その名前から企業のみをターゲットにしていることがわかりますが、すべてのドメイン所有者が被害を受ける可能性があります。
BECの悪用では、サイバー犯罪者は、あなたが知っている誰かから来たように見える、社会的に操作された電子メールを送信します。あなたの会社の役員やマネージャー、あるいはビジネス・パートナーやサプライ・チェーン・ベンダーからのように見えるかもしれません。このようなメールは、ビジネス情報を明かすように要求したり、支払いを要求したり、ギフトカードの購入を要求したりします。
多くの場合、BEC攻撃はあなたのメールアカウントを侵害しようとします。悪質な業者があなたのアカウントにアクセスすると、個人情報を入手したり、あなたの会社のコンピュータネットワークにアクセスしたり、ランサムウェアやその他のマルウェアをインストールしたりすることができます。
BECでは、攻撃者は次のようなことを行うかもしれない。
- 正規のアドレスのわずかなバリエーション(kelly.smith@example.com vs. kelley.smith@example.com)を使って、なりすましのメールアカウントやウェブサイトを作成する。安全でない電子メール・ドメインも、偽のアカウントが本物であると被害者を騙すためになりすますことができます。
- スピアフィッシング・メールを送信する。このような偽メールは、信頼できる送信者からのものと思われ、被害者に機密情報の開示や支払いを促します。
- マルウェアをインストールする。この悪意のあるソフトウェアは、企業のネットワークに侵入し、請求書や請求書に関する電子メールのスレッドにアクセスすることができます。マルウェアはまた、パスワードや金融口座情報などの個人データへのアクセスを可能にします。
以下は、FBIが確認したBEC詐欺の主な5つのタイプです。
- 偽の請求書スキーム:この手口では、攻撃者がサプライヤーになりすまし、詐欺師が所有する口座への送金を要求します。
- CEO詐欺:攻撃者が企業の最高経営責任者(CEO)などになりすまし、不正な口座への送金を要求するメールを財務部門の従業員に送信します。
- 口座の乗っ取り:従業員のメールアカウントがハッキングされ、メールの連絡先に記載されているベンダーに請求書の支払いを要求するために使用されます。実際には不正な銀行口座に振り込まれる。
- 弁護士のなりすまし:攻撃者が弁護士や、機密事項を担当する法律事務所の代表者になりすます。この種の攻撃は、業務終了間際に電子メールを通じて行われることが多く、被害者は、通信の正当性を疑う知識も権限もない下級従業員です。
- データ窃盗:従業員や経営陣の個人情報や機密情報を入手するために、人事部や経理部の従業員が狙われます。このデータは将来の攻撃に大いに役立つ可能性がある。
なぜビジネスメールの漏洩が問題になるのか?
より多くのビジネスがオンライン化されるにつれ、サイバー犯罪者がBEC攻撃やその他のサイバー犯罪で人々を標的にする機会が増えている。この犯罪に関連する頻度、複雑さ、損失額は世界中で増加している。APWGが発表した2022年第1四半期の報告書によると、フィッシング攻撃の総数は102万5,968件で、四半期としては過去最高を記録した。
犯罪者は常に新しい被害方法を探している。フィッシング攻撃が大量に配信され、無作為に行われた時代から、彼らはより巧妙になっています。このような犯罪者は、選挙、自然災害、テロ攻撃、COVID-19のパンデミックのような世界的な出来事など、感情や時事的な出来事を悪用し、重要な研究に取り組んでいます。
BEC攻撃の警告サインとは?
サイバー犯罪者は狡猾で、実績のある手口を使って被害者を搾取します。これらの警告サインに警戒してください。
- 原因不明の緊急性
- 電信送金指示または受取人の口座情報の直前の変更
- 確立された通信プラットフォームまたは電子メールアカウントのアドレスの直前の変更
- 電子メールのみでのコミュニケーションや、電話、オンライン音声、ビデオプラットフォームでのコミュニケーションの拒否
- 以前は要求されていなかったサービスの前払いの要求
- 従業員または雇用主からの予期せぬ口座振込情報の変更要求
サイバー犯罪者は、自分たちが悪用できる新しい策略や時事的な出来事を見つけると、非常に素早く適応する。手口がどのように進化しているかを常に意識しておくことは、組織がこうした高度に標的化された攻撃を防御するための適切な予防措置を講じ、最新の手口の犠牲にならないようにするのに役立つ。
ビジネスメールの漏洩を防ぐには
ドメインの所有者として、最初に考慮すべきリスクは、組織内および見込み客、現在の顧客、ベンダーなどの外部の利害関係者とのコミュニケーションに使用される公開資産であるドメインの悪用である。組織ドメインが悪用されるリスクは非常に高いが、解決しやすい問題でもある。
Domain-based Message Authentication Reporting and Conformance (DMARC)は、オープンなインターネット標準であり、業界のベストプラクティスであり、ドメインのなりすましに対抗し、企業がオンラインプレゼンスを管理し、データ侵害によるブランド低下を防ぐことを可能にします。電子メールのエコシステム全体でDMARCの採用が加速し続ければ、重要な電子メール通信チャネルとインターネット全体がより安全になります。
エンドユーザーとして、BECやフィッシング詐欺から身を守る方法をいくつか紹介しよう。
- ログイン情報、口座番号、個人を特定できる情報をEメールに返信しないこと。
- ソーシャルメディア上で共有する情報には注意してください。パスワードを推測したり、セキュリティの質問に答えたり、社会的に操作されたデマを作ったりするために必要な情報を、犯罪者にうっかり提供してしまう可能性があります。
- アカウント情報の更新や確認を求める迷惑メールやテキストメッセージのリンクをクリックしたり、添付ファイルを開いたりしないでください。その代わりに、その会社の電話番号を調べ(疑わしいEメールに記載されている電話番号は使用しないでください)、その会社に電話して、その要求が正当なものかどうかを尋ねてください。
- 電子メールのアドレス、URL、スペル、文法をよく調べましょう。詐欺師はわずかな違いを利用してあなたの目を欺き、信頼を得ようとします。
- 二要素認証または多要素認証を設定する。
- 支払いや購入のリクエストをリアルタイムで確認し、それが正当なものであることを確認する。また、口座番号や支払い方法に変更があった場合は、依頼者に確認する必要があります。
- 要求が緊急であったり、一刻を争うものであったり、感情に訴えるものであったりする場合は特に注意が必要です。これらは古くからある詐欺のテクニックです。
BECの危険性について自分自身と従業員を教育することは非常に重要です。漏洩した電子メールシステムは、組織の評判と財務に永続的な損害を与える可能性があります。リスクを認識し、安全な対策を講じることで、問題を未然に防ぐことができます。
dmarcianがお手伝いできること
ほとんどの組織にとって、DMARCの導入プロセスは、インターネットセキュリティの態勢に集中する貴重な機会です。最初の一歩として、当社のドメインチェッカーを使ってドメインのステータスを分析することができます。
DMARCのエキスパートが、お客様の組織のセキュリティ態勢を根本的に改善する方法について、喜んでご説明いたします。詳しくはお問い合わせいただくか、無料トライアルにご登録の上、お気軽にお問い合わせください。
私たちがお手伝いします
Brandkeeperでは、メールセキュリティの専門家チームによるDMARCの導入から運用サポート及びコンサルテーション行っています。一旦はDMARCの導入をやってみたが運用を断念したお客様、または、導入時点でいくつものハードルであきらめた企業様のサポートも行っています。
お気軽にご連絡ください