Tripwireは2月12日(米国時間)、「5 Key Findings from the Business Email Compromise (BEC) Trends Report|Tripwire」において、2023年のビジネスメール詐欺(BEC: Business Email Compromise)の侵害傾向レポートを公開した。レポートでは、攻撃の構造と記録的な被害が出る原因について分析している。

  • 5 Key Findings from the Business Email Compromise (BEC) Trends Report|Tripwire

    5 Key Findings from the Business Email Compromise (BEC) Trends Report|Tripwire

BECに関するレポートの主な概要

レポートでは、BECによる被害額がランサムウェアの被害額より多いことを指摘。FBIが公開した報告書「(PDF) Internet Crime Report 2022 - FBI」によると、2022年のFBIに報告された事案においてビジネスメール詐欺の被害額は約27億ドルだったのに対し、ランサムウェアの被害額は約3,400万ドルで、79倍の開きがあるという。

この背景として、最近の企業ネットワークおよびエンドポイントソリューションの侵害が困難なことから、多くのサイバー犯罪者がBECに戦略を変更したのではないかとの見解が示されている。

BECはフィッシングメールと異なり、悪意のあるリンクや添付ファイルが含まれていないことがある。この場合、攻撃者は標的とのコミュニケーションを介して攻撃を実行する。TripwireはこのようなBECの脅威について2023年の分析の結果を列挙して解説している。その概要は次のとおり。

  • 企業の受信トレイは猛攻撃にさらされている。電子メール全体の4分の1以上が悪意のある、または信頼のできないメールであり、そのほぼすべてが詐欺メールだった。これら詐欺メールのうちBECは約14%にすぎないが、最大の損失を占めている
  • 電子メールの詐欺はブロックするのが最も困難。電子メールは誰でも送信することが可能で、BECでは追加のペイロードも必要ない。メールにもっともらしい内容と電話番号があればよく、折返しかかってくる電話からソーシャルエンジニアリング攻撃を実行する。このため、従来のセキュリティソリューションでは攻撃を阻止することはできない
  • 最近の脅威アクターは支払いを傍受する中間者攻撃(MITM: Man-in-the-middle attack)を実行する。このような脅威アクターは関連企業を装い、親切丁寧に架空請求を行う。また、そのときに「未払い残高」を尋ねるメールを送ってくることがあるが、実際の請求元は正確な金額を知っているためそのようなメールを送ってくることはない
  • 2023年の第1四半期には、Microsoft Office 365の資格情報を狙ったフィッシング攻撃が2倍に増加した。攻撃自体は新しいものではないが、攻撃の増加は攻撃ツールキットの入手が容易になったためとされる。技術力の低い攻撃者はこれらツールを使用し、人気のプラットフォームを攻撃しようとする
  • 2023年はハイブリッドビッシングがBECと「419詐欺(ナイジェリア刑法419条に抵触する犯罪)」を抜いて1位になった。ハイブリッドビッシングは電子メールと電話の両方を併用するフィッシング攻撃のこと。顧客サービス担当者を装い、過去に送信した偽のメールを正当化して標的を騙す。その結果、クレジットカード情報や認証情報の窃取、マルウェアの配布などさまざまなサイバー攻撃に巻き込まれる可能性がある

BECへの対策

従来のセキュリティソリューションではBECを検出することは困難なため、現時点ではBECを回避するには従業員に最新の攻撃手法と対応手順を定期的に教育および訓練するしかない。Tripwireは将来的にBECを自動的に防止するため、企業や組織に対して新しいセキュリティ技術に投資することを求めている。特に、AIを活用して異常を認識し、攻撃の予測と有害な攻撃パターンを特定できる技術に投資することを推奨している。