ビジネスメール詐欺(BEC)とは何ですか?

BEC攻撃では、サイバー犯罪者（またはサイバー犯罪組織）が、同僚の従業員、またはベンダー、パートナー、顧客、その他の関係者から送信されたように見えるEメールを、標的の組織の従業員に送信します。このEメールは、従業員を騙して不正な請求書の支払いや偽の銀行口座への振り込みをさせたり、顧客データ、知的財産、企業財務などの機密情報を漏洩させたりします。

まれに、BEC攻撃者は、被害者に添付ファイルを開いたり、悪意のあるリンクをクリックしたりするように求めて、ランサムウェアやマルウェアを拡散させようとすることがあります。また、Eメールが正当なものであるように見せるために、標的とする従業員やなりすます人物の身元を注意深く調査します。Eメール・アドレスのなりすましや偽装などのソーシャル・エンジニアリング手法では、あたかもなりすました送信者が送信したかのような、説得力のある攻撃メールを作成します。

場合によっては、詐欺師が送信者のEメール・アカウントをハッキングして乗っ取り、攻撃メールを、正規のメール・メッセージと見分けがつかないわけではないものの、より信憑性の高いものにしてしまうこともあります。ビジネス・メール詐欺攻撃は、最もコストのかかるサイバー攻撃の1つです。

IBMの2022年データ侵害のコスト・レポートによると、BEC詐欺は2番目に高価なタイプの侵害であり、そのコストは平均489万米ドルです。FBIインターネット犯罪苦情センターのインターネット犯罪報告書によると、BEC詐欺により米国の被害者は2022年に総額27億ドルの損害を被りました。

サイバーセキュリティー の専門家とFBIは、BEC攻撃の主要な6種類を特定しています。

BEC攻撃者は、会社が取引しているベンダーになりすまして、標的の従業員に偽の請求書が添付されたEメールを送信します。企業が請求書を支払うと、そのお金は直接攻撃者に渡されます。これらの攻撃を説得力のあるものにするために、攻撃者は実際のベンダーの請求書を傍受し、自分の銀行口座に直接支払いを行うように変更する可能性があります。

注目すべきは、偽の請求書に騙された企業は依然として本物の請求書に対して責任を負わなければならないと裁判所が判決を下したことです。

最大規模の偽請求書詐欺の1つは、FacebookとGoogleに対して実行されました。2013年から2015年にかけて、詐欺師は両社が提携する本物のハードウェア・メーカーであるQuanta Computerを装い、Facebookから9,800万米ドル、Googleから2,300万米ドルを盗みました。詐欺師は逮捕され、両社とも資金の大部分を回収しましたが、BEC詐欺ではこのような結果になることはまれです。

詐欺師は役員（通常はCEO（最高経営責任者））になりすまして、従業員にどこかに送金するよう依頼します。この要求は、多くの場合、取引の成立、期限を過ぎた請求書の支払い、さらには同僚へのギフトカードの購入などを装っています。

CEO詐欺の手口でよくあるのは、標的が迅速かつ軽率な行動をとるよう、切迫感を煽ることです（例：「請求が支払期日を過ぎており、すぐに支払わないとサービスが利用できなくなります」など）。もう1つの手法は、標的が同僚に相談しないよう、秘密感を醸し出すことです（例：「この取引は極秘なので、誰にも話さないでください」など）。

2016年、航空宇宙メーカーFACCのCEOを装った詐欺師が偽の買収を利用して従業員を騙し、 4,700万ドルを送金させました。詐欺の結果、同社の取締役会は職務「違反」を理由にCFOとCEOの両方を解雇しました。

詐欺師は、非役職者のEメール・アカウントを乗っ取り、偽の請求書を他の会社に送信したり、他の従業員を騙して機密情報を共有させたりします。詐欺師は多くの場合、EACを使用して、CEO詐欺に使用できる上位レベルのアカウントの認証情報をフィッシングします。

詐欺師は弁護士を装い、被害者に請求書の支払いや機密情報の共有を要求します。弁護士なりすまし詐欺は、多くの人が弁護士に協力する傾向があるという事実を利用したもので、弁護士が秘密保持を求めるのは不思議なことではありません。

ロシアのビジネスメール詐欺グループ「Cosmic Lynx」のメンバーは、二重のなりすまし攻撃の一環として、しばしば弁護士を装います。まず、対象企業のCEOは、企業の買収やその他のビジネス取引を支援する「弁護士」をCEOに紹介するEメールを受け取ります。次に、偽の弁護士はCEOにEメールを送信し、取引を完了するために電信で支払いを行うよう要求します。Cosmic Lynxの攻撃では、平均して各ターゲットから127万米ドルが盗まれています。

多くのBEC攻撃は、人事部門や財務部門の従業員を標的とし、個人情報（PII）やその他の機密データを盗み、それを使って個人情報の窃盗やサイバー犯罪を犯します。

たとえば、2017 年にIRS は従業員のデータを盗む BEC 詐欺について警告しました。詐欺師は会社の重役を装い、給与計算担当者に従業員のW-2（従業員の社会保障番号やその他の機密情報を含む）のコピーを送るよう依頼します。同じ給与計算担当者の中には、不正な口座への電信送金を要求する「フォローアップ」メールを受け取った人もいました。詐欺師たちは、W2の要求が信用できると判断した標的は、電信送金要求の格好のターゲットであると想定しました。

2023年初頭、FBIは、詐欺師が法人顧客を装い、標的の企業から製品を盗むという新しいタイプの攻撃について警告しました。偽の財務情報を使用し、別の会社の購買部門の従業員を装った詐欺師は、クレジットで多額の購入を交渉します。標的の企業は注文品（通常は建設資材やコンピューター・ハードウェア）を発送しますが、詐欺師が 支払う ことはありません。

技術的には、BECはスピア・フィッシングの一種であり、特定の個人または個人のグループを標的とするフィッシング攻撃 です。BECはスピア・フィッシング攻撃の中でも特殊で、企業や組織の従業員や関係者をターゲットにしており、詐欺師は標的が知っている、または信頼する傾向がある同僚のふりをします。

BEC攻撃の中には、単独の詐欺師が仕掛けるものもあれば、BECギャングによって開始されるものもあります。これらのギャングは合法的な企業のように活動し、標的を探すリード創出の専門家、Eメール・アカウントに侵入するハッカー、フィッシング・メールが間違いがなく説得力のあるものであることを保証するプロのライターなどの専門家を雇っています。

詐欺師やギャングが強盗する企業を選択すると、通常、BEC 攻撃は同じパターンに従います。

ほぼすべての企業、非営利団体、または政府がBEC攻撃の恰好の標的となります。多額の資金と顧客、そしてBECエクスプロイトが気付かれないほど十分な取引を抱える大規模組織は、明らかに標的となります。

しかし、世界的または地域的なイベントがBEC攻撃者をより具体的な機会に導く可能性があり、そのいくつかは他のものよりも明らかです。例えば、新型コロナウイルス感染症のパンデミックの最中に、FBIは医療機器や供給業者を装ったBEC詐欺師が病院や医療機関に請求を行っていると警告しました。

対照的な（しかし同様に儲かる）例として、2021年にBEC詐欺師はニューハンプシャー州ピーターボロで広く報道された教育および建設プロジェクトを悪用し、町の資金230万ドルを不正な銀行口座に流用しました。

次に、詐欺師はターゲット組織とその活動の調査を開始し、フィッシングメールを受信する従業員と、詐欺師が騙す (なりすます) 送信者の身元を特定します。

BEC詐欺は通常、財務部門や人事（HR）マネージャーなど、支払いを発行する権限や機密データにアクセスする権限を持ち、上級マネージャーや経営幹部からの要求に従おうとする中堅レベルの従業員をターゲットにしています。一部のBEC攻撃は、セキュリティー意識トレーニングをほとんどまたはまったく受けておらず、適切な支払いやデータ共有の手順と承認について理解が浅い新入社員を標的にする場合があります。

送信者の身元として、詐欺師は標的とする従業員に取らせたい行動を確実に要求したり、影響を与えたりできる同僚や関係者を選びます。そのような同僚は通常、組織内の上級マネージャー、幹部、または弁護士といった人物です。

外部の身元は、ベンダーやパートナー組織の幹部である場合もありますが、標的とする従業員の仲間や同僚である場合もあります。例えば、標的とする従業員が日頃から一緒に仕事をしているベンダー、取引に助言している弁護士、既存または新規の顧客などです。

多くの詐欺師は、合法的なマーケティングやセールスの専門家が使用するのと同じリード生成ツールであるLinkedInやその他のソーシャルメディアネットワーク、ビジネスや業界のニュースソース、プロスペクティングやリスト作成のソフトウェアを使用して、潜在的な従業員のターゲットを見つけ、送信者の身元を照合します。

すべてのBEC攻撃者がターゲット組織と送信側組織のネットワークにハッキングするというステップを踏むわけではありません。しかし、実際にマルウェアのような行動をする人々は、標的と送信者を観察し、実際の攻撃の数週間前に情報を蓄積し、権限にアクセスします。これにより、攻撃者は次のことが可能になる可能性があります。

• 観察された行動とアクセス権限に基づいて、標的とする最適な従業員と送信者の身元を選択します。
  
  

• 攻撃メールでリクエストをより適切に偽装できるよう、請求書の送信方法と、支払いや機密データのリクエストがどのように処理されるかについて詳細を学びます。
  
  

• ベンダーや弁護士などへの特定の支払いの期限を決定します。
  
  

• 正規のベンダーの請求書または注文書を傍受し、攻撃者の銀行口座への支払いを指定するように改ざんします。
  
  

• 送信者の実際のEメール・アカウントをコントロールして、詐欺師がそのアカウントから攻撃メールを直接送信できるようにし、時には進行中の正当なEメールのやり取りに入っきて、信憑性を最大限に高めることさえあります。

説得力のあるなりすましが BEC の成功の鍵であり、詐欺師は最大限の信頼性と信頼性を目指して攻撃メールを作成します。送信者のEメールをハッキングしていない場合、詐欺師は送信者のEメール・アドレスを正規のものに見せかける偽のEメール・アカウントを作成します。（例えば、jane.smith@company.comをjsmith@company.comやjane.smith@cornpany.comにするなど、独創的な名前やドメイン名のスペルミスが使用される可能性があります。）送信者の会社のロゴが付いた署名や詳細な（そして偽の）プライバシーに関する声明など、他の視覚的な手がかりを追加する場合もあります。

攻撃メールの重要な要素は口実です。これは、標的の信頼を獲得し、攻撃者の望むことを実行するよう標的を説得または圧力をかけるために書かれた、虚偽だがもっともらしい話です。最も効果的な口実は、認識可能な状況と緊迫感および結果の暗示を組み合わせたものです。マネージャーまたはCEOからのメッセージ「これから飛行機に乗ります。延滞料金が発生しないようにするために、この請求書（添付）を処理していただけますか」などは、BECの口実の典型的な例です。

要求に応じて、詐欺師は偽のWebサイトをセットアップしたり、偽の会社を登録したり、標的が確認のために利用できる偽の電話番号を準備しておくことさえあります。

BEC詐欺は、セキュリティー・ツールが検出できるマルウェアをほとんど使用しないため、防ぐのが最も難しいサイバー犯罪の1つです。代わりに、詐欺師は欺瞞と操作に依存しています。詐欺師は、標的の企業に侵入する必要さえありません。

ベンダーや顧客に侵入したり、なりすましたりすることで、被害者から巨額の金を巻き上げることができます。その結果、データ侵害コスト・レポートによると、BEC攻撃は特定と封じ込めに平均308日を要しています。これは、すべての侵害タイプの中で、解決時間としては2番目に長いものです。

そうは言っても、企業はこれらの詐欺から身を守るために次の措置を講じる可能性があります。

• サイバーセキュリティ意識向上トレーニングは、 詐欺師がターゲットを見つけて調査するために使用するソーシャル メディア プラットフォームやアプリでの過剰共有の危険性を従業員が理解するのに役立ちます。トレーニングは、従業員が BEC の試みを発見し、従う前に多額の支払い要求を確認するなどのベスト プラクティスを採用するのにも役立ちます。

• Eメール・セキュリティー・ツールは、すべての BECメール、特に侵害されたアカウントから送信されたEメールを検出できるわけではありません。しかし、なりすましのEメール・アドレスを見破るのに役立ちます。一部のツールは、BECの試行を示す可能性のある不審なEメール・コンテンツにフラグを立てることもできます。

• 二要素認証または多要素認証は、BEC攻撃者がEメール・アカウントに侵入することをより困難にします。

• エンタープライズ・セキュリティー・ツールは、ネットワークの脆弱性を悪用しようとする試みを特定し、ハッカーが偵察を行っていることを示す可能性のあるエンドポイントやメール・アカウントなどのアクティビティーにフラグを付けることで、セキュリティー・チームがBEC攻撃をより迅速に阻止できるようにします。これらのツールには以下のものが含まれます。
  • セキュリティー・オーケストレーション
  • 自動化と応答（SOAR）
  • セキュリティー情報およびイベント管理（SIEM）
  • エンドポイントの検知と対応（EDR）
  • 拡張検知および対応（XDR）