ビジネスメール詐欺(BEC)とは、メールを利用したソーシャルエンジニアリング攻撃で、被害者に詐欺行為をはたらくことを目的としています。BEC攻撃は、従来のメールフィルターをすり抜けてしまうことが多くあります。
この記事を読み終えると、以下のことができるようになります。
関連コンテンツ
是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!
記事のリンクをコピーする
ビジネスメール詐欺(BEC)はソーシャルエンジニアリング攻撃の一種であり、メールを介して行われます。BEC攻撃では、攻撃者がメールメッセージを改ざんし、被害者に何らかのアクション(最も多いのは、攻撃者が管理する口座や場所への送金)を実行させるように仕向けます。BEC攻撃には、他のメールベースの攻撃とは異なる、いくつかの重要な点があります。
BEC攻撃は、マルウェア、悪意のあるリンク、危険なメールの添付ファイル、またはメールセキュリティフィルターが識別できる要素が含まれていないため、特に危険です。通常、BEC攻撃に使用されるメールにはテキストしか含まれていないため、攻撃者は通常のメールトラフィックの中に擬装することができます。
BECメールは、メールセキュリティフィルターをすり抜けるだけでなく、受信者をだましてメールを開かせ、そのメッセージに基づいた行動を取らせるよう特殊な設計がされています。攻撃者はパーソナライズを使用して、標的の組織に合わせたメールを作成します。攻撃者は、標的となった被害者が普段からメールでやり取りしている人物になりすますこともあります。BECの中には、すでに存在するメールのスレッドの途中で行われるものもあります。
通常、攻撃者は組織の上位者になりすまし、被害者が悪意のある要求を実行するように仕向けます。
BEC攻撃を特定することが困難なその他の理由には、次のようなものがあります。
通常、BECメールは数行のテキストで構成され、リンク、添付ファイル、画像は含まれません。その数行の中で、特定の口座への送金や、保護されたデータやシステムへの承認されていないアクセス権を得るなど、標的に思い通りの行動を取らせることを目的としています。
BECメールに共通するその他の要素としては、以下のようなものが考えられます。
セキュアメールゲートウェイ(SEG)は、メールプロバイダとメールユーザーの間に位置するメールセキュリティサービスです。ファイアウォールが悪意のあるネットワークトラフィックを排除するように、SEGは潜在的に悪意のあるメールを識別してフィルタリングします。SEGは、ほとんどのメールプロバイダーがすでに提供している組み込み型のセキュリティ対策(たとえば、GmailやMicrosoft Outlookには、すでにいくつかの基本的な保護対策が施されています)に加えて、さらなる保護を提供します。
しかし、従来のSEGでは、量が少ない、明らかに悪意のあるコンテンツがない、外見上正当な送信元であるように見える、などの理由から、巧妙に構成されたBEC工作の検出には多くの苦労があります。
そのため、企業がメールの漏洩を防ぐには、ユーザートレーニングや追加のメールセキュリティ対策が非常に重要になります。
通常とは異なる、予期しない、突然の要求は、BEC攻撃の可能性を示すサインです。ユーザーは、BECの可能性があるメッセージを、セキュリティ運用部門に報告する必要があります。また、メールの送信元とされる人物に二重で確認するのも良いでしょう。
経理担当であるボブがCFOであるアリスからメールを受け取ったとします。
ボブ
お客様にお気に入りのピザレストランのギフトカードを送りたいので、ピザギフトカードを1万円分を購入して、このお客様のメールアドレス(customer@example.com)に転送してもらえませんか。
とても急いでいますので、このお客様を失わないために早急に対応をお願いします。
私はこれから飛行機に乗るので、これから数時間は連絡が取れなくなります。
-アリス
この突然の要求はボブにとって異例のことです:ピザのギフトカードをお客様に届けることは、通常、経理部の仕事ではありません。ボブは、アリスがまだ「飛行機に搭乗」していないかもしれないので、念のためアリスに電話します。アリスは電話に出たものの、自分が今送ったはずの依頼が何のことか分かりません。また、アリスは飛行機にも乗りません。ここでボブはBEC攻撃に気付きました。
メールセキュリティプロバイダーの中には、コマンド&コントロール(C&C)サーバーや偽のWebサイトなど、攻撃者がBECの工作やフィッシング攻撃で使用する要素を検出するために、事前にウェブをクロールするものがあります。これには、 ウェブクローラーボットを使ってインターネットを広範囲にわたってスキャンする必要があります(検索エンジンもウェブクローラーボットを使いますが、目的は異なります)。プロバイダーは、攻撃インフラストラクチャを事前に特定することで、不正なメールがセキュリティフィルターを通過する可能性がある場合でも、送信の際に直ちにブロックすることができます。
機械学習は、大規模なデータセットに基づき結果を予測するプロセスを自動化する方法です。通常とは異なる活動を検知するために使用することができるため、例えば、Cloudflare Bot Managementでは、ボットの活動を識別する方法の1つとして機械学習が使用されています。BEC攻撃を阻止するために機械学習は、通常とは異なるリクエスト、標準的でないメールトラフィックパターン、その他の通常とは異なる動作の特定に役立ちます。
BEC攻撃者は、メールの正当性を高めるためにしばしば既存のスレッドに返信しようとするため、一部のメールセキュリティプロバイダーは、スレッドを監視して、スレッド内の「from」や「to」のメールアドレスが突然変更されていないかどうかを確認しています。
これは、メール内のキーフレーズを検索し、特定のメールの連絡先セットが通常どのような案件について対応しているかを学習することを意味します。例えば、ある組織の特定の人物が、送金、お客様の窓口、その他の案件について、誰とやり取りしているかを追跡することができます。もし、ボブの受信したメール(上記の例)がお客様に関わる業務にほとんど触れていない場合、「お客様」や「お客様を失う」のようなフレーズが「アリス」からのメールに含まれていると、そのメールがBEC攻撃の一部であるというサインになり得ます。
Cloudflare Area 1 メールセキュリティは、多くのSEGが検出できないBEC攻撃を捉えるように設計されています。攻撃インフラストラクチャを検出するためのインターネットのクロール、機械学習分析の使用、メールスレッドの分析、メールコンテンツの分析など、上記のような多くの手法を駆使して検出します。
メールは依然として最大の攻撃ベクトルの1つであり、現在の組織にとってメールセキュリティはこれまで以上に重要なものとなっています。Cloudflare Area 1 メールセキュリティの仕組みについて、詳しくはこちらをご覧ください。
利用開始
メールセキュリティの基本
フィッシングとスパム