ビジネスメール詐欺(BEC)とは何ですか?

サイバーセキュリティの 専門家と FBI は、BEC 攻撃の主な 6 種類を特定しています。
 

偽請求スキーム

BEC 攻撃者は、会社が取引しているベンダーになりすまして、標的の従業員に偽の請求書を添付したEメールを送信します。企業が請求書を支払うと、そのお金は直接攻撃者に渡されます。これらの攻撃を説得力のあるものにするために、攻撃者は実際のベンダーの請求書を傍受し、自分の銀行口座に直接支払いを行うように変更する可能性があります。

注目すべきことに、裁判所は、偽の請求書に騙された企業は、依然として本物の取引先に追い詰められているとの判決を下している (リンクはibm.comの外にある)。

最大規模の偽請求書詐欺の 1 つは、Facebook と Google に対して実行されました。2013 年から 2015 年にかけて、詐欺師は両社が提携する本物のハードウェア メーカーである Quanta Computer を装い、Facebook から 9,800 万ドル、Google から 2,300 万ドルを盗みました。詐欺師は逮捕され、両社とも資金の大部分を回収しましたが、BEC 詐欺ではこのような結果はまれです。
 

CEO詐欺

詐欺師は、役員 (通常は CEO) になりすまして、取引の成立、期限を過ぎた請求書の支払い、同僚へのギフトカードの購入などを装って、従業員にどこかに送金するよう依頼します。

CEO詐欺の手口は、ターゲットが迅速かつ軽率に行動するよう、切迫感を煽ったり（例：請求が支払期日を過ぎており、すぐに支払わないとサービスが受けられなくなる）、ターゲットが同僚に相談しないよう、秘密主義を打ち出したりすることが多いとされています（例：この取引は極秘なので、誰にも言わないでください）。

2016 年、航空宇宙メーカー FACC の CEO を装った詐欺師が、偽の買収を利用して従業員をだまして 4,700 万米ドルを送金させました (リンクは ibm.com の外部にあります)。詐欺の結果、同社の取締役会は職務「違反」を理由にCFOとCEOの両方を解雇した。
 

Eメール アカウントの侵害 (EAC)

詐欺師が非役職者のEメールアカウントを乗っ取るものです。これを使用して、偽の請求書を他の会社に送信したり、他の従業員を騙して機密情報を共有させたりする可能性があります。詐欺師は多くの場合、EAC を使用して、CEO 詐欺に使用できる上位レベルのアカウントの資格情報をフィッシングします。

弁護士のなりすまし

詐欺師は弁護士を装い、被害者に請求書の支払いや機密情報の共有を要求します。弁護士なりすまし詐欺は、多くの人が弁護士に協力してくれるという事実を利用しており、弁護士が秘密保持を求めても不思議ではありません。

ロシアの BEC ギャング Cosmic Lynx のメンバーは、 二重のなりすまし攻撃の一環として弁護士を装うことがよくあります (リンクは ibm.com の外にあります)。まず、対象企業の CEO は、企業の買収やその他のビジネス取引を支援する「弁護士」を CEO に紹介するEメールを受け取ります。次に、偽の弁護士は CEO にEメールを送信し、取引を完了するための支払いを電信で行うよう要求します。Cosmic Lynx の攻撃は、平均して各ターゲットから 127 万米ドルを盗みます。
 

データ盗難

BEC 攻撃の多くは、人事や財務の従業員をターゲットにして、個人情報の盗難や将来の攻撃の実行に使用できる 個人識別情報 (PII) やその他の機密データを盗みます。

例えば、2017年、 IRSは従業員データを盗むBEC詐欺について警告した（リンクはibm.comの外に存在する）。詐欺師は会社の重役を装い、給与担当の従業員に従業員のW-2（従業員の社会保障番号やその他の機密情報を含む）のコピーを送るよう依頼します。同じ給与担当者の中には、不正な口座への電信送金を要求する「フォローアップ」メールを受け取った人もいました。詐欺師たちは、W2 のリクエストが信頼できると判断したターゲットは電信送金リクエストの格好のターゲットであると想定しました。
 

商品の盗難

2023 年初頭、 FBI は、詐欺師が法人顧客を装い、標的の企業から製品を盗むという新しいタイプの攻撃について警告しました (リンクは ibm.com の外にあります)。偽の財務情報を使用し、別の会社の購買部門の従業員を装った詐欺師は、信用で多額の購入を交渉します。標的の企業は注文品 (通常は建設資材やコンピューター ハードウェア) を発送しますが、詐欺師は決して 支払いません。

技術的には、BEC はスピア フィッシングの一種であり、特定の個人または個人のグループを標的とする フィッシング攻撃 です。スピア フィッシング攻撃の中で BEC がユニークなのは、ターゲットが企業や組織の従業員または関係者であり、詐欺師がターゲットが知っている、または信頼する傾向がある別の従業員または関係者になりすますことです。

BEC 攻撃の中には、単独の詐欺師の仕業であるものもあれば、BEC ギャングによって開始されるものもあります (上記参照)。これらの暴力団は合法的な企業のように活動し、標的を探すリードジェネレーションの専門家、Eメールアカウントに侵入するハッカー、フィッシングメールが間違いがなく説得力のあるものであることを保証するプロのライターなどの専門家を雇っています。

詐欺師やギャングが強盗する企業を選択すると、通常、BEC 攻撃は同じパターンに従います。
 

対象組織の選択

ほぼすべての企業、非営利団体、または政府が BEC 攻撃の適切な標的となります。多額の資金と顧客、そして BEC エクスプロイトが気付かれないほど十分な取引を抱える大規模組織は、明らかに標的となります。

しかし、世界的または地域的なイベントが BEC 攻撃者をより具体的な機会に導く可能性があり、そのいくつかは他のものよりも明らかです。たとえば、新型コロナウイルス感染症のパンデミックの最中に、FBIは医療機器や供給業者を装ったBEC詐欺師が病院や医療機関に請求を行っていると警告しました。2021年、BEC詐欺師たちは、ニューハンプシャー州ピーターボローの教育・建設プロジェクトに便乗し、 資金230万米ドルを詐欺銀行口座に流用しましたた（リンク先はibm.com）。
 

従業員ターゲットと送信者 ID の調査

次に、詐欺師はターゲット組織とその活動の調査を開始し、フィッシングメールを受信する従業員と、詐欺師がなりすます (なりすます) 送信者の身元を特定します。

BEC詐欺は通常、財務部門や人事（HR）マネージャーなど、支払いを発行する権限や機密データにアクセスする権限を持ち、上級マネージャーや経営幹部からの要求に従おうとする中堅レベルの従業員をターゲットにしています。一部の BEC 攻撃は、セキュリティ意識のトレーニングをほとんどまたはまったく受けておらず、適切な支払いやデータ共有の手順と承認についての理解が限られている新入社員を標的にする場合があります。

送信者の身元について、詐欺師は、標的の従業員に実行してもらいたいアクションを信頼できる方法で要求したり、それに影響を与えたりできる同僚や同僚を選択します。同僚のアイデンティティは通常、組織内の上級マネージャー、幹部、または弁護士です。外部の身元は、ベンダーやパートナー組織の幹部である場合もあるが、従業員ターゲットの仲間や同僚である場合もある。例えば、従業員ターゲットが日頃から一緒に仕事をしているベンダー、取引に助言している弁護士、既存または新規の顧客などです。

多くの詐欺師は、合法的なマーケティングやセールスの専門家が使用するのと同じリード生成ツール-LinkedInやその他のソーシャルメディアネットワーク、ビジネスや業界のニュースソース、プロスペクティングやリスト作成ソフトウェア-を使用して、潜在的な従業員のターゲットを見つけ、送信者の身元を照合します。
 

ターゲットと送信者のネットワークハッキング

すべての BEC 攻撃者がターゲット組織と送信側組織のネットワークにハッキングするというステップを踏むわけではありません。しかし、実際にマルウェアのように動作する人々は、ターゲットと送信者を観察し、実際の攻撃の数週間前に情報を蓄積し、特権にアクセスします。これにより、攻撃者は次のことが可能になる可能性があります。

• 観察された行動とアクセス権限に基づいて、最適な従業員ターゲットと送信者の ID を選択します
   

• 攻撃メールでリクエストをより適切に偽装できるよう、請求書の送信方法と支払いや機密データのリクエストがどのように処理されるかについて詳しく説明します。
   

• ベンダーや弁護士などへの特定の支払い期限を決定します。
   

• 正規のベンダーの請求書または注文書を傍受し、攻撃者の銀行口座への支払いを指定するように変更します。
   

• 送信者の実際のEメールアカウントをコントロールし（上記のEメールアカウントの侵害を参照）、詐欺師がそのアカウントから攻撃メールを直接送信できるようにし、時には、究極の信憑性を得るために、進行中の正当なEメールのやり取りに入ってくることさえあります。
   

攻撃の準備と開始

説得力のあるなりすましが BEC の成功の鍵であり、詐欺師は最大限の信頼性と信頼性を目指して攻撃メールを作成します。

送信者のEメールをハッキングしていない場合、詐欺師は、送信者のEメール アドレスを正規のものに見せかける偽のEメール アカウントを作成します。(たとえば、 jsmith@company.com または jane.smith@company.com に対して jane.smith@cornpany.comなど、クリエイティブ名やドメイン名のスペルミスが使用される可能性があります)。送信者の会社のロゴが付いた署名や詳細な (そして偽の) プライバシーに関する声明など、他の視覚的な手がかりを追加する場合もあります。

攻撃メールの重要な要素は口実です。これは、標的の信頼を獲得し、攻撃者の望むことを実行するよう標的を説得または圧力をかけるために書かれた、虚偽だがもっともらしい話です。最も効果的な口実は、認識可能な状況と緊迫感および結果の暗示を組み合わせたものです。マネージャーまたは CEO からのメッセージ: 「これから飛行機に乗ります。延滞料金を避けるために、この請求書 (添付) を処理していただけますか?」は、BEC 口実の典型的な例です。

要求に応じて、詐欺師は偽の Web サイトをセットアップしたり、偽の会社を登録したり、ターゲットが確認のために電話できる偽の電話番号をスタッフに派遣したりすることもあります。

BEC 詐欺は、セキュリティ ツールが検出できるマルウェアをほとんど使用しないため、防ぐのが最も難しいサイバー犯罪の 1 つです。代わりに、詐欺師は欺瞞と操作に依存しています。 詐欺師は標的の会社に侵入する必要さえありません。ベンダーや顧客に侵入したり、なりすましたりすることで、被害者から巨額の金を巻き上げることができます。その結果、 データ漏えいのコスト（Cost of a Data Breach）レポートによると、BEC攻撃は特定と封じ込めに平均308日を要し、これはすべての漏えいタイプの中で2番目に長い解決時間となっています。

そうは言っても、企業はこれらの詐欺から身を守るために次の措置を講じる可能性があります。

• サイバーセキュリティ意識向上トレーニングは、 詐欺師がターゲットを見つけて調査するために使用するソーシャル メディア プラットフォームやアプリでの過剰共有の危険性を従業員が理解するのに役立ちます。トレーニングは、従業員が BEC の試みを発見し、従う前に多額の支払い要求を確認するなどのベスト プラクティスを採用するのにも役立ちます。

• Eメール セキュリティ ツールは 、すべての BEC Eメール、特に侵害されたアカウントから送信されたEメールを検出できるわけではありません。しかし、なりすましのEメールアドレスを見破るのに役立ちます。一部のツールは、BEC 試行を示す可能性のある不審なEメール コンテンツにフラグを立てることもできます。

• 二要素 認証または 多要素認証は 、BEC攻撃者がEメールアカウントに侵入することをより困難にします。

• セキュリティオーケストレーション、自動化、レスポンス（SOAR ）、 セキュリティ情報およびイベント管理（SIEM ）、 エンドポイント検出およびレスポンス（EDR ） 、 拡張検出およびレスポンス（XDR ）な どの エンタープライズセキュリティツールは 、ネットワークの脆弱性を悪用しようとする試みを特定し、ハッカーが偵察を行っていることを示す可能性のあるエンドポイントやEメールアカウントなどのアクティビティにフラグを立てることによって、セキュリティチームが BEC 攻撃を迅速に特定して阻止するのに役立ちます。