BEC攻撃

BEC攻撃とは何か?

Business Email Compromiseの定義とは何か。BEC詐欺は、攻撃者が企業のメールアカウントに不正にアクセスし、所有者になりすまして企業やその代表者、顧客、協力者を騙す手口です。攻撃者は通常、被害者が信頼している企業のメールアドレスに非常に似たアドレスを作成します。BECは「メール内の中間者攻撃」とも呼ばれます。

‍

BECの主な目的は何か?

詐欺師は通常、企業資産にアクセスできるスタッフを狙い、信頼している口座に送金させるよう仕向けますが、実際には資金が不正な口座に振り込まれます。

‍

BEC攻撃はどのように行われるか?

BEC詐欺では、攻撃者が信頼できる同僚、上司、または取引先を装い、送信者が受取人に対して振込送金や資金の振り替え、銀行情報の変更などを要求します。

BEC攻撃は、一般的なセキュリティ対策で検知されるマルウェアや有害なURLを使用しないため、見分けがつきにくいです。結果として、BEC攻撃は偽装などのソーシャルエンジニアリング手法を用いて、信頼している相手を騙すことに重点を置いています。

こうした攻撃は、手法が固定され、ソーシャルエンジニアリングが使われるため、検知や対処が非常に困難です。

BEC詐欺では、例えばドメインの偽装やコピーといった手法が用いられます。ドメインの悪用は複雑な問題であり、防止が難しいため、あらゆる類似ドメインを予測するのは非常に大変です。さらに、BEC攻撃では第三者のドメインを利用して、被害者の信頼を狙うケースも増えています。

EAC（Email Account Compromise）では、攻撃者が主要なメールアカウントを乗っ取り、同様のBEC攻撃を行います。多くの場合、攻撃者は単に成りすますだけでなく、実際にその人物として行動します。

BECおよびEAC攻撃は、人間の不注意を突くものであるため、さまざまな手口に対して防御、検知、対応を行う組織的な対策が求められます。

1. Step

攻撃者はまず、特定のメールアドレスリストを入手します。LinkedInのプロフィール調査、企業のメールデータベースの漁り、または各種サイトで連絡先情報を探すといった方法が一般的です。

2. Step

攻撃者は一斉送信メールを用いてBEC攻撃を開始します。偽装や他と似たドメイン、偽のメール送信元を使用するため、この段階で明確な狙いを定めるのは難しいです。

3. Step

次に、攻撃者はCEOや財務担当者など、企業の関係者になりすまします。急ぎの対応を求めるメッセージが多く見受けられます。

4. Step

攻撃者が相手の信頼を得ることができれば、その結果、金銭的利益や情報漏洩が発生します。

BEC攻撃の5種類

• アカウントの乗っ取り

担当者のメールアカウントが乗っ取られ、不正な請求が行われます。送金は攻撃者の偽の台帳へ振り込まれるよう指示されます。

• CEO詐欺

この手口では、攻撃者が企業のCEOや上層部を装い、財務部の担当者に対して、資金を攻撃者が指定した口座へ送金するよう依頼するメールを送ります。

• 偽の請求書詐欺

攻撃者が海外のサプライヤーを狙うために使う一般的な手法です。企業を装い、資金を偽の口座へ移すよう請求します。

• 弁護士なりすまし

攻撃者が弁護士や法務担当者を装う場合、弁護士なりすましと呼ばれます。これらの攻撃は、下位管理者が依頼の正当性を十分に確認しない隙を突くものです。

• 情報窃盗

こうした攻撃は、企業の幹部やCEOの個人情報、機密情報を狙い、窃取することが多いです。取得した情報は、後のCEO詐欺などに利用される可能性があります。

BEC攻撃の手法

BEC攻撃はソーシャルエンジニアリングに大きく依存しているため、容易に実行可能です。その普及と再現性の高さから、攻撃者にとって魅力的な手法となっています。以下の5つの手法に注意が必要です:

信頼の利用

攻撃者は、既存の信頼関係を利用して、被害者にメールの依頼に即座に従わせようとします。例えば、取引先が請求書の送付を求めたり、上司がiTunesギフト券の提供を要求したり、従業員が新たな銀行口座情報を送るよう仕向けるケースがあります。

日常業務の繰り返し

企業と従業員は日々多数の業務をこなしており、その多くはメールなどで自動的に処理されています。同じ作業が繰り返されるため、無意識に対応してしまうことがあります。BEC攻撃は、こうした日常業務を装い、被害者に考える前に行動させることを狙います。

狙われる業務には、以下のものが含まれます:

• メールによるパスワード再設定要求
• ファイルやスプレッドシートの共有を装ったメッセージ
• 有名アプリからの、サービス利用の許可を求めるメール

無料ソフトウェア

攻撃者はオープンソースソフトウェアを利用してBEC詐欺に信頼性を持たせ、既知の有害なURLやドメインと照合するセキュリティ対策を回避します。

例えば、SendGridで偽のメールアカウントを作成し、Google Sitesでフィッシングページを構築する場合があります。

また、Google FormsやDocsを用いて個人情報を収集し、BoxやGoogle Driveを使って0-dayフィッシングリンクや偽の依頼内容を保管することもあります。

ソーシャルエンジニアリングの文言とテーマ

BECメールの件名には、緊急性や共感を示す表現が使われ、行動を促す意図が感じられます。

以下のような言葉が件名によく使用されます:

• 請求
• 急ぎ
• こんにちは, FirstName
• 請求
• 即時対応

メール本文も巧妙に作られており、無害に見える依頼を装うための操作的な表現が用いられます。BEC攻撃では、フィッシングサイトの代わりに言葉そのものが武器となります.

‍

BECの一例

トヨタ 2019：3700万ドル

2019年、日本のトヨタ紡織に対して3700万ドルのBEC攻撃が行われました。企業規模を考えると、担当者が信頼して送金を実行してしまう隙を攻撃者は突いたと考えられます。

BEC攻撃が増加する中、今回がトヨタにとって3度目の攻撃であったため、批判者は企業側がもっと警戒すべきだったと指摘しています.

FacebookとGoogle：1億2100万ドル

このBEC攻撃の首謀者であるEvaldas Rimasauskasは、2019年に5年の懲役判決を受けました。

Rimasauskasと共犯者は、実在する機器供給業者に似た名前の架空企業『Quanta Computer』を設立し、信頼性のある請求書をFacebookとGoogleに送付、これが偽の台帳に記録されました.

銀行が送金を認識するよう、詐欺師は偽の依頼書や誤解を招く弁護士の書面、契約書を作成しました.

‍

BEC攻撃への防御策

BECやEACの攻撃は複雑な問題であり、多層の防御策が必要です。これらの攻撃を効果的に防ぐためには、次の対策が求められます:

• 様々なBEC/EAC手法に対する対策を講じる
• オンプレミスやクラウド環境、ユーザーの行動パターンを監視する
• リスク検知と対応の自動化を行う

効果的なBEC/EAC防御策は、攻撃者が利用するあらゆる経路―企業メール、個人向けwebメール、同僚メール、クラウドアプリ、貴社のウェブサイト、インターネット、そしてユーザーの行動―を守ります。BECやEAC攻撃は、不注意（または意図的に）情報を提供してしまう被害者を狙うため、攻撃検知、メール認証、ユーザー情報の管理が重要な要素となります.

貴社の利用者には、メールが本物でない可能性がある兆候を見極めるよう教育することが望まれます:

• 上位管理職からの予期しない情報要求：CEOが各従業員のW2や口座情報を確認する必要はありません。通常、役員からのメールには即座に応じがちですが、依頼内容の正当性を確認することが重要です。CFOは個々の情報要求よりも、総報酬情報や特別な報告書の要求に対して慎重です。
• 依頼内容を秘匿するよう求め、送信元とのみメールで連絡するよう指示する場合：多くの偽メールでは、依頼内容を秘密にするか、送信者と直接メールでのみ連絡するよう促されます。
• 通常の手順にそぐわない依頼：企業には請求書や送金処理の規定がございます。上層部が定められたルールを無視して、例えば重要な送金を急に要求する場合、注意が必要です。
• 文章表現にむらがあり、巧妙なものもあれば、下手な英語で書かれている場合もあります。また、欧州式の日付表記（DD MM YYYY）や、不自然な文章表現が見られることもあります。
• メールドメインや「返信先」アドレスが一致しない場合：注意が散漫になると、BEC攻撃では偽装や似たようなアドレスが使用されるケースが多くあります。（例: yourc0mpany.com と yourcompany.com）