BEC:ビジネスメール詐欺とは?それを防ぐ方法は?
最近のWannaCryランサムウェア攻撃が世界的な話題を盗んでいるため、直感に反しているように思われるかもしれませんが、サイバーセキュリティ攻撃はより狙いを定めてターゲティングをしています。
2017年に注目すべきセキュリティの傾向で報告したように、ビジネス電子メールの侵害(またはBEC)は、これらの攻撃の中で最も恐ろしいものの1つであり、その数はそれを裏付けています。
2013年10月から16年12月まで、あらゆる規模の企業や組織のコストは合計53億ドル、インシデントあたり13万ドルを超えました。
ビジネスのメール侵害の基本
ビジネスメール侵害の主な特徴は、ビジネスの利害関係者になりすまして、日常的な取引を行っていると信じている被害者から資金を引き出したり強要したりすることです。
これは、サプライヤー、緊急資金を探している幹部、高度に分類されたデータ要求(恐喝につながることが多い)、または弁護士や不動産業者などのプロの部外者を装った誰かとの連絡で金銭を要求する場合があります。
詐欺を成功させるには、犠牲者を利用するために「完璧な嵐」が必要になることがよくあります。
FBIによると、攻撃は多くの場合、フィッシング詐欺(旅行計画、アカウント情報、名前などの個人情報を利用するため)から始まり、ランサムウェアなどで被害者を恐喝します。
フィッシング攻撃自体が必要ない場合もあります。
現在ほとんどの個人が共有している情報の量を考えると、詐欺師は通常、電子メールアドレス、役職、さらには旅行計画などの情報をLinkedInのクイック検索で見つけることができます。
これらの高度に標的化された攻撃には、詐欺師による調査と準備が必要です。
多くの場合、ドメインスプーフィングを用いた電子メールアドレスが利用されます。
攻撃はますます階層化された戦略の組み合わせになりつつあり、すべてユーザーの不注意を利用することを目的としています。
ビジネスメールの侵害の例
ドイツのケーブルカーメーカーであるLeoniは、なりすましメールアドレスを介して2016年8月に約4,400万ドル(およびその市場価値の7%)を失いました。
または、ボーイングのサプライヤーが5500万ドルの被害にあいました。
ガスを購入するためにライアンエアーから「わずかな」500万ドルが盗まれました。
または、アジアの企業と同じ名前のリトアニアの企業を登録し、管理したEvaldas Rimasauskasによる一連の詐欺は、米国の技術企業に1億ドル以上の資金を提供させました。
これらの企業はすべて厳しい教訓を学びましたが、生き残るために十分な資産(そしておそらく保険)を持っていました。
これらの数値を、世界的に悪名高いWannaCryランサムウェアが犠牲者に損害を与えたとされる50,000ドルと比較してください。
(注:この数値には、ITインフラストラクチャの再構築、バックアップ、および身代金を支払わないことを選択した組織のコストは含まれていないことに注意してください。また、BECの53億ドルも含まれていません。)
BECとヒューマンエラー
BEC攻撃は、常に何らかのヒューマンエラーを伴うため、防止するのは非常に困難です。
企業の世界では、これらのエラーに対処するための保護手段が一般的に実施されていますが、高度にターゲットを絞り、パーソナライズされた攻撃は、判断に重大な誤りをもたらす可能性があります。
CEOが従業員に所得税申請書を要求し、その過程ですべてのAlphaPayroll社のクライアントのデータが危険にさらされたCEO詐欺のこの例を見てください。
クライアントが社会保険番号で提出された納税申告書に気づいたときに発見されました。
スプーフィングされたドメインを利用したメールアドレスを従業員が盲目的に受け入れたのでした。
または、CEOからなりすましメールを受け取ったAmeriforge社の経理部長は、彼が機密ファイルを担当しており、弁護士が銀行振込の詳細についてまもなく彼に連絡すると述べました。
弁護士を装った詐欺師がしばらくして電話をかけたとき、2要素認証でさえ不十分であり、ディレクターは十分にお金を送金することに納得していました(多要素認証については後で詳しく説明します)。
これらは単純な人為的ミスのほんの一例であり、無能や怠慢が原因ではなく、どの従業員も犯す可能性があります。
最高の従業員でさえ脆弱な状況では、攻撃者が利用したい「自動操縦」タイプの動作を妨害するプロセスとフェイルセーフを確立することが重要です。
ビジネスのメール詐欺を阻止する方法
ユーザーエラーが要件であるため、BEC詐欺を阻止するには、常に従業員のセキュリティ教育とトレーニングから始める必要があります。
電子メールセキュリティソリューションは、特にフィッシングメールで始まる場合、攻撃の可能性を大幅に減らすことができます。
さらに、特に資金に対する権限を持つ幹部やスタッフの間で、適切にトレーニングされたユーザーグループを持つことで、攻撃の効果を大幅に減らすことができます。
信頼性の高い電子メールセキュリティソリューションを使用する
主要な電子メールセキュリティソリューションプロバイダーを使用することは、彼らが一般的に使用する特定のキーワードにフラグを立てることができるため、ビジネス電子メール侵害攻撃から保護するための基本です。
Proofpointの調査によると、これらのメールの件名の30%に「支払い」という単語が含まれ、21%に「リクエスト」という単語が含まれ、別の21%に「緊急」という単語が含まれていました。
これはすべて、攻撃者が従業員の善意を利用しようとする試みと一致しています。
多要素認証
二要素認証(2FA)は、機密データや有線資金のリリースには必須です。
それでも、詐欺師は、なりすましメールで送信された内容を確認するために、エグゼクティブアシスタントまたは弁護士になりすましてCEO(または誰でも)に電話をかけています。
重要なトランザクションに関しては、または習慣の問題としても、多要素認証(MFA)プロセスを構築して、詐欺の被害者になる可能性を劇的に減らし、お金が関係するときは常に注意して進めてください。
電子メールセキュリティフィルター
電子メールフィルターは、BEC詐欺を阻止するための鍵です。
多くの場合、新しい試行では、電子メールがローカルドメインからローカルドメインに送信されますが、非ローカルの返信先アドレスが使用されます。
スプーフィングされた電子メールがユーザーに到達するのを防ぐために、ドメインベースのメッセージ認証、レポート、および適合性(DMARC)が含まれている場合は特に、適切なフィルターがこれらを検出します。
優れた電子メールフィルターには、シグネチャベースの検出(重要な保護手段)を提供すると同時に、不規則な動作や悪意のある電子メールの可能性を検出するAdvanced Threat Protection(ATP)も含まれます。
ドメインを守る
自分のドメイン名に類似したドメイン名を登録することで、BEC攻撃の成功の中心となる電子メールのなりすまし行為からの保護も大幅に強化されます。
新しく登録されたドメインを見つけるように電子メールフィルターを設定することも、この慣行からの保護に役立ちます。
標的型電子メールスプーフィング攻撃は、フィッシング電子メールを送信する直前にドメインのなりすましバリエーションを登録することがよくあります。
BECと電子メールおよびサイバーセキュリティ計画のコスト
BECの直接費用は1件あたり13万ドルになる可能性がありますが、これには、資金の回収、訴訟、損害管理、不正な報道、解雇(および新規雇用)、および利害関係者への金銭の損失の説明に費やされた時間は含まれません。
人為的ミスと一般的な形式の電子メール詐欺に対する防御の欠如の両方に。 比較すると、よくレイアウトされた電子メールとサイバーセキュリティ計画はお買い得です。
大企業の場合は、IT管理者を活用します。中小企業の場合は、定期的な従業員のトレーニングと認識を備えたMSPまたは外部コンサルタントを利用します。
それは大まかな範囲です。
保険証券として、電子メールのセキュリティへの投資は簡単なはずです。
電子メールセキュリティのベストプラクティスとBECを停止する方法の詳細については、電子メール詐欺を阻止するように設計されたmodusCloudおよびmodusGateの安全な電子メールソリューションをご覧ください。
セキュリティトレーニングは、こちら
セキュリティコンサルティングは、こちら