ビジネスメール詐欺(BEC)とは?

ビジネスメール詐欺(BEC)とは、メールを利用したソーシャルエンジニアリング攻撃で、被害者に詐欺行為をはたらくことを目的としています。BEC攻撃は、従来のメールフィルターをすり抜けてしまうことが多くあります。

学習目的

この記事を読み終えると、以下のことができるようになります。

  • ビジネスメール詐欺(BEC)の定義
  • BECメールに共通する特徴を挙げる
  • BECの工作を阻止するための方法を説明する

関連コンテンツ


さらに詳しく知りたいとお考えですか?

是非、Cloudflareが毎月お届けする「theNET」を購読して、インターネットで最も人気のある洞察をまとめた情報を入手してください!

当社がお客様の個人データをどのように収集し処理するかについては、Cloudflareのプライバシーポリシーをご確認ください。

記事のリンクをコピーする

ビジネスメール詐欺(BEC)とは?

ビジネスメール詐欺(BEC)はソーシャルエンジニアリング攻撃の一種であり、メールを介して行われます。BEC攻撃では、攻撃者がメールメッセージを改ざんし、被害者に何らかのアクション(最も多いのは、攻撃者が管理する口座や場所への送金)を実行させるように仕向けます。BEC攻撃には、他のメールベースの攻撃とは異なる、いくつかの重要な点があります。

  1. マルウェア(悪意のあるリンク、メールの添付ファイル)が含まれていない
  2. 組織内の特定の個人を標的にしている
  3. 狙った被害者に合わせてカスタマイズされ、多くの場合、対象組織の事前調査が行われる

BEC攻撃は、マルウェア、悪意のあるリンク、危険なメールの添付ファイル、またはメールセキュリティフィルターが識別できる要素が含まれていないため、特に危険です。通常、BEC攻撃に使用されるメールにはテキストしか含まれていないため、攻撃者は通常のメールトラフィックの中に擬装することができます。

BECメールは、メールセキュリティフィルターをすり抜けるだけでなく、受信者をだましてメールを開かせ、そのメッセージに基づいた行動を取らせるよう特殊な設計がされています。攻撃者はパーソナライズを使用して、標的の組織に合わせたメールを作成します。攻撃者は、標的となった被害者が普段からメールでやり取りしている人物になりすますこともあります。BECの中には、すでに存在するメールのスレッドの途中で行われるものもあります。

通常、攻撃者は組織の上位者になりすまし、被害者が悪意のある要求を実行するように仕向けます。

BEC攻撃の検出が困難な理由は?

BEC攻撃を特定することが困難なその他の理由には、次のようなものがあります。

  • 数が少ない:メールトラフィックに異常な急増が見られる場合、メールセキュリティフィルタに攻撃が行われていることを警告することができます。しかし、BEC攻撃は、1~2通のメールで構成されることが多く、非常に少量です。そのため、メールトラフィックを急増させることなく、攻撃を実行することができます。このように少量で行われるBEC攻撃は送信元IPアドレスを定期的に変更することができるため、攻撃を阻止することが難しくなります。
  • 正規の送信元またはドメインを使用している:大規模なフィッシング攻撃は多くの場合、すぐにブロックリストに登録されてしまうようなIPアドレスから発信されます。BEC攻撃は、その規模が小ささから、標準または良い評価を持つIPアドレスを発信元として使用することができます。また、メールのドメインスプーフィングを利用して、あたかも実在の人物からメールが届いているかのように見せかけます。
  • 実際に正規のメールアカウントから送信されている場合がある:BEC攻撃は、前もって侵入したメールの受信トレイから本人に代わって、本人に気づかれないように実際に正規のメールアドレスで悪意のあるメッセージを送信している可能性があります。(この場合、攻撃者はより多くの労力を必要としますが、このような的を絞った労力を払うことはBEC攻撃の特徴です)
  • DMARCのチェックを通過している:DMARC(ドメインベースのメッセージ認証・報告・適合)は、ドメインから承認なしに送信されたメールを識別するためのプロトコルです。これは、ドメインの偽装を防ぐのには有効です。BECの工作がDMARCを通過してしまうのには次の2つの理由があります。1) 組織がメールを厳密にブロックするようにDMARCを設定していない可能性がある。 2) 攻撃者が正当な送信元からメールを送信している可能性がある。

BECメールに通常含まれる内容は?

通常、BECメールは数行のテキストで構成され、リンク、添付ファイル、画像は含まれません。その数行の中で、特定の口座への送金や、保護されたデータやシステムへの承認されていないアクセス権を得るなど、標的に思い通りの行動を取らせることを目的としています。

BECメールに共通するその他の要素としては、以下のようなものが考えられます。

  • 緊急性:「緊急」「至急」「リマインダー」「重要」「早急に」などの言葉がBECメール、特に件名に頻繁に登場し、受信者が詐欺の標的にされていることに気づく前に、できるだけ早く行動するように仕向けます。
  • 送信者が権威ある人物:BEC攻撃者は、例えばCFOやCEOなど、組織の重要人物を装います。
  • 送信者に徹底的になりすましている:BECメールは、被害者を騙すためにメールアドレスを詐称したり、個人の文体を真似るなどの手口で、正当な送信者(組織のCFOなど)になりすますことがあります。
  • 要求の理由を提示している:時には、通常とは異なる要求に正当性を持たせるために、BECのメールには、その行動が必要な理由が記載されていることがあります。これは、要求に緊急性を持たせることにもなります。
  • 指示が具体的:攻撃者は、送金先や送金額など、明確な内容を指示します。具体的な金額であれば、より正当なものに感じる可能性が高くなります。このような情報は、最初のメールに記載されたり、被害者が返信した場合のフォローアップのメールに記載されたりすることがあります。
  • 送信者とされる人物に連絡を取らないよう指示がある:被害者が別の通信手段でBECメールの送信元とされる人物に連絡を取ることができれば、そのメールが偽物であると気づかれてしまう可能性があります。これを防ぐため、攻撃者は被害者に対して、(早急な対応が必要などという名目で)送信者に連絡したり、他の誰かに確認したりしないよう指示することがあります。

セキュアメールゲートウェイ(SEG)はBECの工作をブロックするか?

セキュアメールゲートウェイ(SEG)は、メールプロバイダとメールユーザーの間に位置するメールセキュリティサービスです。ファイアウォールが悪意のあるネットワークトラフィックを排除するように、SEGは潜在的に悪意のあるメールを識別してフィルタリングします。SEGは、ほとんどのメールプロバイダーがすでに提供している組み込み型のセキュリティ対策(たとえば、GmailやMicrosoft Outlookには、すでにいくつかの基本的な保護対策が施されています)に加えて、さらなる保護を提供します。

しかし、従来のSEGでは、量が少ない、明らかに悪意のあるコンテンツがない、外見上正当な送信元であるように見える、などの理由から、巧妙に構成されたBEC工作の検出には多くの苦労があります。

そのため、企業がメールの漏洩を防ぐには、ユーザートレーニングや追加のメールセキュリティ対策が非常に重要になります。

BECの工作が疑われる場合、ユーザーは何をすべきか?

通常とは異なる、予期しない、突然の要求は、BEC攻撃の可能性を示すサインです。ユーザーは、BECの可能性があるメッセージを、セキュリティ運用部門に報告する必要があります。また、メールの送信元とされる人物に二重で確認するのも良いでしょう。

経理担当であるボブがCFOであるアリスからメールを受け取ったとします。

ボブ

お客様にお気に入りのピザレストランのギフトカードを送りたいので、ピザギフトカードを1万円分を購入して、このお客様のメールアドレス(customer@example.com)に転送してもらえませんか。

とても急いでいますので、このお客様を失わないために早急に対応をお願いします。

私はこれから飛行機に乗るので、これから数時間は連絡が取れなくなります。

-アリス

この突然の要求はボブにとって異例のことです:ピザのギフトカードをお客様に届けることは、通常、経理部の仕事ではありません。ボブは、アリスがまだ「飛行機に搭乗」していないかもしれないので、念のためアリスに電話します。アリスは電話に出たものの、自分が今送ったはずの依頼が何のことか分かりません。また、アリスは飛行機にも乗りません。ここでボブはBEC攻撃に気付きました。

BEC攻撃を検出および遮断する他の技術的対策は?

フィッシングインフラストラクチャの事前検出

メールセキュリティプロバイダーの中には、コマンド&コントロール(C&C)サーバーや偽のWebサイトなど、攻撃者がBECの工作やフィッシング攻撃で使用する要素を検出するために、事前にウェブをクロールするものがあります。これには、 ウェブクローラーボットを使ってインターネットを広範囲にわたってスキャンする必要があります(検索エンジンもウェブクローラーボットを使いますが、目的は異なります)。プロバイダーは、攻撃インフラストラクチャを事前に特定することで、不正なメールがセキュリティフィルターを通過する可能性がある場合でも、送信の際に直ちにブロックすることができます。

機械学習分析

機械学習は、大規模なデータセットに基づき結果を予測するプロセスを自動化する方法です。通常とは異なる活動を検知するために使用することができるため、例えば、Cloudflare Bot Managementでは、ボットの活動を識別する方法の1つとして機械学習が使用されています。BEC攻撃を阻止するために機械学習は、通常とは異なるリクエスト、標準的でないメールトラフィックパターン、その他の通常とは異なる動作の特定に役立ちます。

メールのスレッドの分析

BEC攻撃者は、メールの正当性を高めるためにしばしば既存のスレッドに返信しようとするため、一部のメールセキュリティプロバイダーは、スレッドを監視して、スレッド内の「from」や「to」のメールアドレスが突然変更されていないかどうかを確認しています。

自然言語処理

これは、メール内のキーフレーズを検索し、特定のメールの連絡先セットが通常どのような案件について対応しているかを学習することを意味します。例えば、ある組織の特定の人物が、送金、お客様の窓口、その他の案件について、誰とやり取りしているかを追跡することができます。もし、ボブの受信したメール(上記の例)がお客様に関わる業務にほとんど触れていない場合、「お客様」や「お客様を失う」のようなフレーズが「アリス」からのメールに含まれていると、そのメールがBEC攻撃の一部であるというサインになり得ます。

Cloudflare Area 1 メールセキュリティは、BECをどう検出するか?

Cloudflare Area 1 メールセキュリティは、多くのSEGが検出できないBEC攻撃を捉えるように設計されています。攻撃インフラストラクチャを検出するためのインターネットのクロール、機械学習分析の使用、メールスレッドの分析、メールコンテンツの分析など、上記のような多くの手法を駆使して検出します。

メールは依然として最大の攻撃ベクトルの1つであり、現在の組織にとってメールセキュリティはこれまで以上に重要なものとなっています。Cloudflare Area 1 メールセキュリティの仕組みについて、詳しくはこちらをご覧ください