Bleeping Computerはこのほど、「The Current State of Business Email Compromise Attacks」において、ビジネスメール詐欺(BEC: Business Email Compromise)の脅威について報告した。窃取した電子メールアカウントや正規の電子メールアドレスを悪用して行われるサイバー攻撃の増加が指摘されており、事例が紹介されている。
BECでは他のサイバー攻撃と同様、さまざまな手法が使われている。特に組織内の特定のターゲットを狙う攻撃手法は、より危険とされている。被害者に合わせたメッセージが使われ、既存の電子メールやWebサイトを模倣する手法やスピアフィッシング(信頼できる送信元からの電子メールを偽装する手法)が使われる可能性が高いという。
攻撃者は経営幹部や出荷部門、請求部門、IT部門などさまざまな組織内の要素を狙ってビジネスメール詐欺攻撃を仕掛けてくる。そのため、攻撃の事例を把握して学ぶことが重要とされている。
紹介されている主な攻撃事例は次のとおり。
- 最高経営責任者(CEO: Chief Executive Officer)詐欺 - 経営幹部になりすます攻撃。脅威者が企業のCEOや最高財務責任者(CFO: Chief Financial Officer)などを偽り、財務担当者に電子メールを送って資金移動を要求する手法とされている。攻撃の効果を高めるため、脅威者はターゲットを徹底的に調査し、言語、専門用語、文体、電子メールアドレスなどをできるだけ一致させようとする
- アカウントの侵害 - 従業員の電子メールアカウントを侵害することで実現する攻撃。脅威者が侵害したアカウントを悪用して取引先に支払いを要求する。取引先は信頼できるアカウントからの要求であるため、請求部門は検証を怠り、支払ってしまう可能性がある
- 偽の請求書スキーム - 企業に対して偽の請求書を送りつけるフィッシング攻撃。多くの場合、サービス提供の期限が過ぎたという主張が使われる。さらに、請求書ファイル内にマルウェアが含まれている可能性があり、アカウント侵害攻撃が行われる可能性もある
- 弁護士のなりすまし - この攻撃の多くはベンダーのサプライチェーンに焦点が当てられている。法的な問題に関する不安に乗じて、弁護士のふりをして和解金の支払いを要求したり、支払いがない場合は法的措置を取ると脅したりする
- データの盗難 - 人事部の従業員を標的にする典型的な攻撃とされ、その目的は重要なユーザーの個人情報や機密情報を収集するための偵察とされている。脅威者は得られた情報を悪用し、さらなる攻撃に発展させる
オンラインでのビジネスが増加することに伴い、BECが一般化してきている。従業員に対して適切な教育を提供することが求められており、アカウントが侵害されないよう強固なセキュリティインフラを構築しておくことが推奨されている。