著者: ヴァス・ジャッカル (Vasu Jakkal)
セキュリティ、コンプライアンス、アイデンティティ、マネジメント担当コーポレートバイスプレジデント
※本ブログは、米国時間 5 月 19 日に公開された “Cyber Signals: Shifting tactics show surge in business email compromise | Microsoft Security Blog” の抄訳を基に掲載しています。
マイクロソフトは本日、ビジネスメールの侵害 (BEC: Business Email Compromise) にまつわるサイバー犯罪の急増に焦点を当てた Cyber Signals 第 4 版を発表します。マイクロソフトは 2019 年から 2022 年にかけて、ビジネスメールを標的としたサイバー犯罪・アズ・ア・サービス (CaaS) が 38% 増加したことを確認しています1。
BEC 攻撃の成功による組織の損害は、年間数億ドルにもおよびます。2022 年、FBI の資産回復チーム (RAT: Recovery Asset Team) では、米国内の取引における 2838 件の BEC に関する告発に対し、金融詐欺キルチェーン (FFKC: Financial Fraud Kill Chain) を開始しました。こうした取引は、5 億9000 万ドル以上もの損失につながる可能性があるものです2。
BEC 攻撃は、ソーシャルエンジニアリングやごまかしの手法に重点を置くことから、サーバー犯罪の中でも際立つ存在です。Microsoft Threat Intelligence では、2022 年 4 月から 2023 年 4 月にかけて 3500 万件の BEC の試みがあったことを検出して調査しており、その平均は 1 日 15 万 6000 件にものぼります。
Cyber Signals
マイクロソフトのデジタル犯罪部門では、ビジネスメールを標的としたサイバー犯罪・アズ・ア・サービスが 2019 年から 2022 年にかけて 38% 増加したことを確認しています。
一般的な BEC の手口
攻撃者による BEC の試みは、電話やテキストメッセージ、メール、ソーシャルメディアなど、さまざまな形で行われます。一般的な手口として、認証要求メッセージのなりすましや、個人・企業になりすますこともあります。
BEC の運営者は、パッチが適用されていないデバイスの脆弱性を突くのではなく、日々大量にやり取りするメールなどのメッセージを悪用して被害者をおびき寄せ、金融情報を提供させたり、知らぬ間に資金を運び屋用の口座に送金するといったような行動を直接取らせて犯罪者が不正送金できるようにしたりします。
破壊的な恐喝メッセージが特徴の「騒々しい」ランサムウェア攻撃とは異なり、BEC の運営者は巧妙に期限を設けたり緊急性を装ったりすることで、このような緊急要請に動揺する人や慣れている人を駆り立て、静かに信用してもらえるようふるまいます。BEC の攻撃者は、新種のマルウェアではなく、悪意のあるメッセージの規模や信ぴょう性を高め、受信箱での成功率を向上させるツールに焦点を当てつつその手口を調整しています。
マイクロソフトでは、攻撃者が BulletProfitLink などのプラットフォームを利用する傾向が高まっていることを確認しています。BulletProfitLink は、悪意あるメールキャンペーンを産業規模で作成する際によく使われるサービスで、BEC 用のテンプレートやホスティング、自動化サービスなどをエンドツーエンドで販売しています。この CaaS を利用する攻撃者には、BEC の標的を定めるにあたって役立つ IP アドレスも提供されます。
BulletProftLink の分散型ゲートウェイの設計には、フィッシングサイトや BEC サイトをホストする Internet Computer ブロックチェーンノードが含まれており、この設計によって破壊がより困難な高度分散型ウェブサービスが生まれます。複雑で常に進化するパブリックブロックチェーンにこうしたサイトのインフラを分散させることで、サイトの特定や削除措置の調整がより煩雑になるのです。
住宅用 IP アドレスを悪用した攻撃もいくつか注目されました。マイクロソフトは、法執行機関やその他組織では、この傾向が急速に拡大する可能性があること、そして従来のアラームや通知では活動の検出が困難になることを懸念しており、当該機関や組織に考えを共有しています。
脅威実行者は BEC を促進する特別なツールを作成しており、その中にはフィッシングキットや、トップレベルの経営層や買掛責任者といった特定の役職をターゲットとする検証済みメールアドレスなどが含まれています。ただし、企業が攻撃に先手を打ってリスクを軽減させる方法もあります。
BEC 攻撃は、サイバーリスクには部門横断的な方法で対処する必要があることを示す好例といえるでしょう。IT 部門はもちろんのこと、コンプライアンスやサイバーリスク担当者が、経営幹部やリーダー、財務担当者、人事マネージャー、そして社会保障番号や納税明細書、連絡先情報、スケジュールといった従業員情報にアクセスできる人たちとともにテーブルに着かなくてはならないのです。
BEC 対策の提案
・安全なメールソリューションを利用する: 最近のメール用クラウドプラットフォームでは、機械学習などの AI 機能を使って防御力を高めており、高度なフィッシング保護や不審な転送の検出も可能です。メール用クラウドアプリや生産性向上クラウドアプリでは、ソフトウェアアップデートが継続的に自動で行われるほか、セキュリティポリシーが一元管理されているという利点もあります。
・アイデンティティを保護して横展開を差し止める: アイデンティティの保護は BEC 対策の重要な柱です。ゼロトラストや自動化されたアイデンティティガバナンスで、アプリやデータへのアクセスを制御しましょう。
・安全な決済プラットフォームを採用する: メールによる請求書から、決済認証用に特化して設計されたシステムへの移行を検討しましょう。
・警告の兆候を発見できるよう従業員を訓練する: 継続的に従業員を教育し、ドメインとメールアドレスの不一致などから不正メールやその他悪意のあるメールを特定できるようにし、BEC 攻撃によるリスクとコストなどについて把握できるようにしておきましょう。
詳細について
Cyber Signals 第 4 版をご確認ください。
脅威インテリジェンスに関するインサイトやガイダンスの詳細は、Security Insider をご覧ください。これまでの Cyber Signals も同サイトに掲載されています。
マイクロソフトのセキュリティソリューションの詳細は、当社のサイトをご覧ください。セキュリティブログでは、セキュリティ関連の専門情報が入手できます。また、LinkedIn (Microsoft Security) や Twitter (@MSFTSecurity) でもサイバーセキュリティに関する最新ニュースや情報をお届けしています。
注釈
1 マイクロソフトの Cyber Signals より
2 インターネット犯罪告発センターが 2022 年の統計を発表 (Internet Crime Complaint Center Releases 2022 Statistics)、FBI
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。
