Trace Id is missing
メイン コンテンツへスキップ
Security Insider

手口の変化によって急増するビジネス メール詐欺

ダウンロード
共有

Cyber Signals 第 4 号: 人の信頼に付け込む詐欺

ビジネス メール詐欺は増加の一途をたどっており、米連邦捜査局 (FBI) によると、21,000 件以上の苦情が寄せられ、調整後の被害額は 27 億ドルを超えたと報告されています。Microsoft は、ビジネス メール詐欺 (BEC) を専門とする脅威アクターが、攻撃キャンペーンがローカルで生成されたように見せかけるために一般家庭用のインターネット プロトコル (IP) アドレスを活用するなど、巧妙な手口が増えていることを確認しています。

この新しい手口は、犯罪者がサービスとしてのサイバー犯罪 (CaaS) をさらに収益化するのに役立っており、異常なログイン試行やその他の不審なアカウント アクティビティを特定してブロックするために使用される "不可能な移動" アラートをサイバー犯罪者が回避できることから、連邦法執行機関の注目を集めています。 

誰もがサイバーセキュリティ防御の担い手です。
Microsoft の Digital Crimes Unit は、2019 年から 2022 年にかけて、ビジネス メールを標的としてサービスとしてのサイバー犯罪が  38%  増加したことを確認しています。

BulletProftLink の産業スケールの BEC サービス登場の内幕

ビジネス メール詐欺をめぐるサイバー犯罪活動が加速しています。Microsoft は、産業スケールの悪意あるメール キャンペーンを作成するための人気プラットフォームである BulletProftLink のようなプラットフォームを攻撃者が利用する傾向が顕著であると確認しています。BulletProftLink は、BEC 用のテンプレート、ホスティング、自動化サービスを含むエンドツーエンドのサービスを販売しています。この CaaS を利用する攻撃者は、被害者の資格情報と IP アドレスを受け取ります。

次に BEC の脅威アクターは、被害者の所在地に一致する一般家庭用 IP サービスから IP アドレスを購入し、一般家庭用 IP プロキシを作成します。これにより、サイバー犯罪者の出所が隠蔽されます。ユーザー名とパスワードに加えて、悪意のあるアクティビティを支援するためのローカル アドレス空間を使用して身を固めた BEC 攻撃者の動きは覆い隠され、"不可能な移動" フラグを回避し、さらなる攻撃を実行するためのゲートウェイを開くことができます。Microsoft は、アジアと東欧諸国の脅威アクターがこの手口を最も頻繁に展開していることを確認しています。

"不可能な移動" とは、ユーザー アカウントが侵害されている可能性を示すのに使用される検知のことです。これらのアラートは、1 つの場所からもう 1 つの場所へ移動するのに適切な移動時間が存在しないため、タスクが 2 つの場所で実行されていることを示す物理的な制限にフラグを立てます。

サイバー犯罪の経済のこの分野の専門化と統合により、検出を回避するための一般家庭用 IP アドレスの使用がエスカレートする可能性があります。場所にマッピングされた大規模な一般家庭用 IP アドレスにより、サイバー犯罪者は、侵害された大量の資格情報を収集し、アカウントにアクセスする能力と機会を手に入れます。脅威アクターは、マーケティング担当者などが調査に使用している可能性のある IP/プロキシ サービスを利用して、このような攻撃を拡大しています。たとえば、ある IP サービス プロバイダーは、毎秒ローテーションしたり変更したりすることが可能な 1 億個の IP アドレスを持っています。
脅威アクターは、Evil Proxy、Naked Pages、Caffeine のようなサービスとしてのフィッシングを使用してフィッシング キャンペーンを展開し、侵害された資格情報を取得しますが、BulletProftLink は、インターネット コンピューターのパブリック ブロックチェーン ノードを含む分散型ゲートウェイ デザインを提供し、フィッシングや BEC サイトをホストすることで、破壊するのがはるかに難しい、さらに洗練された分散型 Web を提供しています。これらのサイトのインフラストラクチャを複雑かつ進化を続けるパブリック ブロックチェーン間に分散させることで、それらを特定したり、テイクダウン アクションを調整したりすることがより複雑になっています。フィッシング リンクを削除してもコンテンツはオンラインに残り、サイバー犯罪者は既存の CaaS コンテンツに新たなリンクを作成するために戻ってきます。

BEC 攻撃が成功すると、組織には年間数億ドルの損害が発生します。2022 年、FBI の Recovery Asset Team は、5 億 9,000 万米国ドル以上の潜在的損失を伴う国内取引を含む 2,838 件の BEC の苦情に対して、金融詐欺キル チェーンを開始しました。

金銭的な影響も甚大なものとなりますが、より長期的な被害としては、個人を特定できる情報 (PII) が漏えいした場合の個人情報の盗難や、悪意のあるメールやメッセージのトラフィックから機密文書や知的財産が漏えいした場合の機密データの損失などが考えられます。

フィッシング メールの種類

ビジネス メール詐欺攻撃で使用されるフィッシング メールの種類別の割合を示す円グラフ。ルアーが 62.35% と最も多く、給与支払い (14.87%)、請求書 (8.29%)、ギフト カード (4.87%)、ビジネス情報 (4.4%)、その他 (5.22%) と続きます。
データは 2023 年 1 月から 2023 年 4 月までの BEC フィッシングの種類別スナップショットです。この画像の詳細については、 レポート全文の 4 ページをご覧ください

BEC の主な標的は、経営幹部やその他のシニア リーダー、財務マネージャーや、社会保障番号、納税申告書、その他の PII などの従業員記録にアクセスできる人事スタッフです。不慣れなメールの要求を確認する可能性の低い新入社員も狙われています。ほぼすべての形態の BEC 攻撃が増加しています。標的型 BEC の傾向としては、ルアー、給与支払い、請求書、ギフト カード、ビジネス情報などが上位を占めています。

BEC 攻撃は、ソーシャル エンジニアリングと詐欺の技術に重点を置いている点で、サイバー犯罪業界の中でも際立った存在です。BEC のオペレーターは、パッチが適用されていないデバイスの脆弱性を悪用する代わりに、日々のメール トラフィックやその他のメッセージの海を悪用して被害者をおびき寄せ、金融情報を提供したり、マネー ミュール口座 (犯罪者が不正送金を行うのに役立つ) に無意識のうちに資金を送金したりしてしまうような直接的な行動を取らせようとします。

破壊的な恐喝メッセージを特徴とする "騒々しい" ランサムウェア攻撃とは異なり、BEC のオペレーターは、不自然な期限や緊急性を利用し、何かに気を取られていたり、この種の緊急の要求に慣れていたりする受信者をあおりながら、人の信頼に付け込む詐欺を静かに行います。BEC の敵対者は、斬新なマルウェアを使用する代わりに、悪意のあるメッセージのスケール、信憑性、受信トレイに届く成功率を向上させるツールに焦点を当て、戦術を調整します。

一般家庭用 IP アドレスを利用した攻撃がいくつか話題になっていますが、Microsoft は、この傾向が急速に拡大し、従来のアラームや通知で活動を検知することが困難になるケースが増えるという、法執行機関やその他の組織の懸念を共有しています。

ログインの場所の違いには元来、悪意はありません。たとえば、あるユーザーがローカル Wi-Fi 経由でノート PC からビジネス アプリケーションにアクセスし、同時に携帯電話ネットワーク経由でスマートフォンで同じ業務アプリにサインインすることがあります。このため、組織はリスク許容度に基づいて、"不可能な移動" フラグのしきい値を調整することができます。しかし、BEC 攻撃のための産業規模のローカライズされた IP アドレスは、企業にとって新たなリスクを生み出します。適応型 BEC やその他の攻撃者は、標的に近いアドレス空間を経由して悪意のあるメールやその他のアクティビティをルーティングするという選択肢をますます採用するようになっているからです。

推奨事項:

  • 受信トレイを保護するセキュリティ設定を最大化する:  企業は、外部から送信されたメッセージにフラグを立てるようにメール システムを構成できます。メール送信元が確認できない場合の通知を有効にします。独自に確認できない ID を持つ送信者をブロックし、メール アプリでそのメールをフィッシングやスパムとして報告します。
  • 強力な認証を設定する:  ログインするためにパスワードだけでなくコード、暗証番号 (PIN)、または指紋を必要とする多要素認証を有効にすることで、メールがより侵害を受けにくくなります。MFA が有効になっているアカウントは、攻撃者が使用するアドレス領域に関係なく、漏えいした認証情報やブルートフォースによるログイン試行のリスクに強くなります。
  • 警告サインを見抜くための従業員トレーニング:  ドメインとメール アドレスの不一致や、BEC 攻撃の成功に伴うリスクとコストなど、詐欺メールやその他の悪意のあるメールを見抜けるよう従業員を教育 します。

ビジネス メール詐欺に対抗するには、警戒と認識が必要

脅威アクターは、フィッシング キットや、C-Suite のリーダー、買掛金担当者、その他の特定の役職を対象にした検証済みメール アドレスのリストなど、BEC を容易にするための特別なツールを作成していますが、企業は攻撃を先取りし、リスクを軽減する方法を採用することができます。

たとえば、ドメインベースのメッセージの認証、レポート、および適合 (DMARC) ポリシーの "拒否" は、なりすましメールに対する最も強力な防御策となり、認証されていないメッセージは、配信前であってもメール サーバーで拒否されることが保証されます。さらに DMARC レポートは、明らかな偽造と思われるメール (通常は受け取ることのない情報) の送信元を把握するためのメカニズムを組織に提供します。

組織が完全にリモートまたはハイブリッドな従業員を管理するようになってから数年が経過していますが、ハイブリッド作業時代におけるセキュリティ意識の再考は、依然として必要です。従業員は、より多くのベンダーや請負業者と仕事をするようになり、"初めて目にする" メールをより多く受け取るようになっているため、このような業務のリズムや通信の変化が攻撃面にとって何を意味するのかを意識することが不可欠です。

脅威アクターによる BEC の試みは、電話、テキスト メッセージ、メール、ソーシャル メディアのメッセージなど、さまざまな形態で行われます。認証要求メッセージのスプーフィングや、個人や企業になりすますことも一般的な手口です。

適切な防御の第一歩としては、経理、内部統制、給与計算、人事の部門に対して、支払手段、銀行取引、電信送金に関する要求や変更の通知を受けた場合の対応方法に関するポリシーを強化することが挙げられます。ポリシーに従わない不審な要求は、一歩下がって見送るか、正規のサイトや担当者を通じて要求元の団体に連絡することで、組織を莫大な損失から救うことができます。

BEC 攻撃は、サイバー リスクについて、社会保障番号、納税明細書、連絡先、スケジュールなどの従業員記録にアクセスできる経営幹部やリーダー、財務担当従業員、人事マネージャーと、IT 担当者、コンプライアンス担当者、サイバー リスク担当者が一体となって、部門横断的な方法で対処する必要があることを示す良い例です。

推奨事項:

  • 安全なメール ソリューションを使用する:  今日のメール クラウド プラットフォームは、機械学習などの AI 機能を使用して防御が強化され、高度なフィッシングからの保護や不審な転送の検出機能が追加されています。また、メールや生産性向上のためのクラウド アプリには、継続的かつ自動的なソフトウェア更新やセキュリティ ポリシーの一元管理といった利点もあります。
  • ID を保護し、横の動きを禁止する : ID の保護は、BEC 対策の重要な柱です。 ゼロ トラスト と自動化された ID ガバナンスにより、アプリやデータへのアクセスを制御します。
  • 安全な支払いプラットフォームを採用する:  メールで送られる請求書から支払いの認証専用に設計されたシステムへの切り替えを検討してください。
  • いったん停止し、電話で金融取引を確認する:  窃盗につながる可能性のある、すばやく返信やクリックを行うのではなく、短くても電話での会話の時間を設け、正当なものであることを確認することには十分に価値があります。組織や個人に直接連絡し、疑わしいメッセージに記載された情報を使用せず、金銭的な要求やその他の要求を再確認することが重要であることを従業員に念押しするポリシーと、期待されていることを規定します。

Senior Threat Intelligence Analyst の  Simeon Kakpovi のインサイトから、BEC と イランの脅威アクター について詳しく学びましょう。

スナップショット データは、2022 年 4 月から 2023 年 4 月の間に Microsoft 脅威インテリジェンスによって検出され、調査された BEC 試行の年間および 1 日の平均を表しています。Microsoft の Digital Crimes Unit によって指示されたユニークなフィッシング URL のテイクダウンは、2022 年 5 月から 2023 年 4 月までのものです1

  • 年間 3,500 万件 
  • 1 日 156,000 件
  • 417,678 件のフィッシング URL テイクダウン
  1. [1]

    方法論: スナップショット データについて、Microsoft Defender for Office、Microsoft 脅威インテリジェンス、Microsoft Digital Crimes Unit (DCU) などの Microsoft のプラットフォームから、デバイスの脆弱性に関する匿名化されたデータ、脅威アクターのアクティビティや傾向に関するデータが提供されました。さらに研究者は、連邦捜査局 (FBI) 2022 年インターネット犯罪報告書やサイバーセキュリティ & 社会基盤安全保障庁 (CISA) などの公的な情報ソースのデータも使用しました。カバーの統計は、2019 年から 2022 年までの Microsoft DCU ビジネス メールのサービスとしてのサイバー犯罪のエンゲージメントに基づいています。スナップショット データは、検出および調査された、調整後の年間および 1 日平均の BEC 試行数を表しています。

ビジネス メール詐欺 Cyber Signals ID セキュリティ フィッシング

関連記事

イランの脅威アクターの専門家、Simeon Kakpovi のインサイト

脅威インテリジェンスのシニア アナリスト Simeon Kakpovi が、次世代のサイバー防衛者の育成と、イランの脅威アクターの圧倒的な粘り強さに打ち勝ったことについて語ります。
詳細情報

IoT/OT デバイス特有のセキュリティ リスク

現在、IoT/OT 接続の普及が進むにつれて脆弱性の規模と深刻度も大きくなり、組織的なサイバー脅威アクターに悪用されるリスクが高まっています。最新のレポートではこの問題について解説します。
詳細情報

現代における攻撃面の構造

組織のシステムが攻撃対象となり得る領域はますます複雑になっています。攻撃面の管理には、包括的なセキュリティ体制の構築が必要不可欠です。このレポートでは、防御側が戦局において優位性を高める方法に関して、適切な脅威インテリジェンスを活用することの有効性を、主要な 6 種類の攻撃面についてご説明します。
詳細情報

Microsoft をフォローする