ベンダーメール詐欺の構造

スローな攻撃で多額の被害

ビジネスメール詐欺（BEC）攻撃の進化

フィッシング詐欺は、従業員を狙ったスピアフィッシングから、高額な報酬と引き換えに小額の手数料を要求する一般的なアドバンスド・フィー詐欺まで、世界中の組織を長い間苦しめてきた。

最近はベンダーメール詐欺（VEC）という新たな手口が現れ、ユーザーを詐欺から守りたい企業にとってはリスクが一層高まっています。

ビジネスメール詐欺（BEC）攻撃と同様、ベンダーメール詐欺（VEC）では、攻撃者が信頼できるサードパーティになりすまし、正規に見えながら悪意のあるメールをターゲットに送信します。従来のBEC攻撃は社内の信頼できる個人を装うのが一般的でしたが、VECはさらに一歩進んで、ベンダー（または信頼できる他のサードパーティ）になりすましてターゲットを騙し、不正請求書の支払いや機密データの開示、企業ネットワークやシステムへのアクセス許可を引き出すものです。

最近の調査によると、調査対象企業の98%が、サプライチェーンで発生したサイバーセキュリティ侵害の悪影響を受けたことがあると答えています。企業が被るコストは深刻です。ある攻撃では、トヨタグループのメーカーが、悪意のあるサードパーティからの不正な支払い指示を受けて3700万ドル以上の損失を被りました。FBIのレポートによると、BEC攻撃（VECはそのサブセット）は、過去5年間で合計430億ドルの損失をもたらしているとのことです。

VECは攻撃対象向けに個別化されているため、悪意のあるリクエストを特定することは、経験豊富なセキュリティ専門家であっても非常に困難です。このような攻撃は、世界的にリモートワークやクラウドベースのメールシステムへの移行が進んでおり、企業にフィッシングに強いセキュリティ機能が備わっていない、または有効になっていないこともあり、より一般的になってきています。

このような進化するフィッシング詐欺に対抗するためには、疑わしいメール拡張子やURLの変更を検知して警告し、ドメイン名を検証し、第三者のリクエストを厳密に審査する、多角的なメールセキュリティ対策が必要です。

VECのしくみ

「金融サプライチェーン侵害」とも呼ばれるベンダーメール詐欺は、通常のBEC攻撃よりも高度で標的型の性質を持ち、必ずしも個人に合わせた攻撃である必要はありません。

BEC攻撃では、攻撃者は組織内の特定の人物（多くの場合、CEOや権限を持つ人物）になりすまします。そして、なりすました人物から組織内の複数のターゲットにリクエストを送るのです。

例えば、攻撃者は、会社のCEOを名乗りながら、一般的な支払い要求を従業員に送るかもしれません。一見、正当な要求のようですが、従業員自身が実際のCEOに確認すれば、比較的簡単に事実を確認することができます。

一方、VECでは一般的に、進行中のプロジェクトの詳細、予算データ、金融取引のスケジュールなど、既存のビジネス関係をより深く理解する必要があります。この調査プロセスには数週間から数ヶ月を要しますが、攻撃対象が攻撃を認識し、支払いを阻止するまでにかなりの時間を要するため、攻撃者にとっての潜在的なメリットは、一般的な攻撃方法よりもはるかに大きいのです。

攻撃者は、ターゲットに自分たちと対話するよう説得した後、偽の請求書に対する支払い要求、請求口座の詳細の改ざん、標的となる組織に関する機密情報の収集など、さらなる悪意のある行為を実行することができます。

上図は、VEC攻撃の一例で、攻撃者がベンダーの電子メールアカウントに侵入し、不正な支払い要求を実行するものです。

VECの現実世界での展開

最近の一連の攻撃で、FBIは、攻撃者が米国に拠点を置く建設会社（年間平均1兆9000億ドルの売上を誇る業界）になりすましていることを発見しました。攻撃者は、国内のトップクラスの建設会社を調査し、その会社の顧客基盤に関する公的および私的なデータを収集しました。

そして、攻撃者は、ドメインスプーフィングを使用してメールアカウントを作成し、そこから標的の組織と不正な通信を行い、しばしば銀行口座の詳細の変更を要求していました。攻撃者はVEC戦術を用い、すでに収集したデータに基づいて、電子メールメッセージ、請求書発行依頼、口座振替の変更をそれぞれの攻撃対象に合わせて指示し、「数十万ドルから数百万ドル」を組織から詐取したのです。

FBIは、被害者が攻撃が行われたことに気付くまでに「数日から数週間」かかることが多いことを指摘しています。また、資金回収の方法も限られており、ある学区が誤って84万ドルを詐欺的な建設会社に送金した際、盗まれた資金のうち5000ドルしか回収できなかったといいます。

VEC攻撃の試みを特定する方法

多くの高度なフィッシング攻撃と同様に、VECも検出が困難です。攻撃者はしばしば、信頼できるベンダーのドメインを偽装したり、公開情報ではない内容を提供して正当性を「証明」したりするなど、複数の攻撃方法を組み合わせてメッセージを本物に見せかけます。

VEC攻撃が検知を回避する主な理由は3つあります。

1. 攻撃対象のサプライヤーやベンダーが、自分たちが危険にさらされていることに気づいていない。

2. このキャンペーンは、長期間にわたり、複数の電子メールスレッドで行われ、会話のほとんどは問題のないもので、悪意のあるペイロードを欠いている。

3. 行動喚起（例：定期的な請求書の支払い）は、緊急性がないように聞こえるように設計されているため、疑わしいと判断されることがない。

VECを防止するためには、受信したメールを検証し、不正な活動を抑制するセキュリティパートナーが必要です。VECを予防するための有効な対策として、以下のようなものがあります。

• フィッシングを特定し、ブロックするためのメール設定を行う。厳格なセキュリティプロトコルを使用して、悪意のある電子メールメッセージをスキャンし、フラグを立てます。

  • Sender Policy Framework（SPF）、DomainKeys Identified Mail（DKIM）、Domain-based Message Authentication Reporting and Conformance（DMARC）などのメール認証プロトコルを使用して、メール スプーフィングを防止する。

  • POP、IMAP、およびSMTPのような安全性の低い電子メールプロトコルの使用を中止する。

  • 侵入検知システム（IDS）のルールで不審なURLにフラグを立てる。

  • 多要素認証（MFA）を使用して、第三者によるアクセスやアカウントレベルの変更要求（パスワードのリセットなど）を確認する。

• 第三者からの取引依頼を精査する。資金移動の要求を承認する前に、すべての取引情報および口座の詳細を適切な関係者に確認します。さらに、既存のベンダーによって銀行情報が変更された場合、正式なレビューと承認プロセスを組み込みます。

• 新手の詐欺について従業員を教育する。フィッシングの手口は緩和策を回避するため、常に進化しています。電子メールによる脅威の一般的な兆候について従業員に定期的に教育し、攻撃の成功確率を下げます。

  • 電子メールベースの攻撃を特定するために、組織が開発した緩和策や内部プロセスを実施する。

  • ドメイン名のタイプミス、実際のURLのバリエーションを含むハイパーリンク（例：「RealCompany.com」の代わりに「RealCo.com」）など、一般的なフィッシングの要素についてメールを検査するよう、ユーザーに教育する。

  • 個人情報や財務情報を要求する未承諾メールや緊急メールには返信しないなど、電子メールのハイジーンを徹底するよう従業員に呼びかける。

CloudflareによるVECの検出と防止

Cloudflare email securityは、標的型、長期的なベンダーのメール侵害の試みなど、幅広い攻撃から保護します。Webクローリング、パターン分析、高度な検出技術の組み合わせにより、攻撃者のインフラストラクチャをインターネットでスキャンし、メッセージを分析して疑わしい要素を特定し、フィッシングメールが受信箱に到達するのをブロックします。

この高度なメール保護は、1日平均2090億のサイバー脅威をブロックするCloudflareのグローバルネットワークによって実現されており、企業は独自の脅威インテリジェンスデータにより、標的型フィッシング攻撃やその他のサイバー脅威をより効果的にフィルタリングすることができます。また、Cloudflare Zero Trustプラットフォームの一部として、Cloudflareはリモートユーザーとオフィスユーザーの両方に、継続的かつ包括的なセキュリティを提供します。

この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。

記事の要点

この記事を読めば、以下が理解できます。

• VEC攻撃が組織に潜り込む仕組み

• VEC攻撃の警告サイン

• 巧妙なフィッシング詐欺を特定し、阻止するための戦略

関連リソース

• フィッシングリスクアセスメント

• Webinar：フィッシングとビジネスメール詐欺

• それはフィッシングから始まった：2021年メールセキュリティレポート

• データシート：Cloudflare Email Security