本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/business-email-compromise-results-26b-losses-over-last-three-years」の翻訳です。
正体を偽って金品をだまし取るなりすまし詐欺は古くからある詐欺の手法ですが、電子メールによってデジタル化されたことで、この問題はさらにやっかいなものになりました。電子メールベースのなりすまし詐欺としては、ビジネスメール詐欺/メールアカウント侵害(BEC/EAC)が挙げられます。これらの攻撃は、テクノロジーやインフラの脆弱性を狙うのではなく、人を標的として狙うソーシャルエンジニアリングを使い、世界中のあらゆる場所・あらゆる産業の、あらゆる規模の組織に大きな影響を与えています。
FBIの最新のIC3レポートによると、2016年以降世界中の組織がBEC/EACによって260億ドル以上の損害を受けています。この間に起きた事件の数は166,349件で、一攻撃あたりのコストは平均157,000ドルになります。今のところ、これらの攻撃がすぐに減少する兆候はありません。
Proofpointは2018年に、世界150か国の3,900社で送受信された1,600億通を超える電子メールを調査しました。検出・ブロックされたBECなどの詐欺メールの数は、前年に比べて400%以上も増加しています。そしてこれらの攻撃は、送金を指示する権限や機密情報へのアクセス権を持っているような、組織内の特定の人々を狙っています。企業が詐欺メール攻撃に狙われる頻度は、2018年の第1四半期と比べ、2019年第1四半期は120%増加しました。
なりすまし詐欺攻撃はなぜ成功するのか?
まず、これらの攻撃は高度に標的を絞り込んでいるということが挙げられます。詐欺師は政治信条とは無関係であり、高額な見返りが見込めるかどうかで攻撃手法を考えます。彼らは、組織の従業員、ビジネスパートナー、および顧客をターゲットにするために、彼らが信頼しているIDになりすますことが効果的であることを知っています。これらの攻撃はごく少量なため、従来型のスパム対策テクノロジーでは検出できません。
第二に、これらの攻撃には多くの場合ペイロードが含まれていません。悪意のあるコンテンツがあるとすれば、それは電子メールの本文で犯罪者が指示している内容そのものです。分析またはサンドボックス解析すべき悪意のあるURLまたは添付ファイルがないため、アンチウイルステクノロジーはこれらの攻撃を検出することはできません。
最後に、これらの攻撃はシステムの脆弱性ではなく、人の弱点を利用しています。ID詐欺で金銭や貴重な情報を盗む犯罪者は、攻撃者の要求を実行できる権限を持つ組織内の人々を狙っています。彼らは被害者に、本来の仕事(送金など)をするように頼んでいるだけです。被害者がそういった依頼を受けることは日常的なため、依頼に不信感を持つことはありません。これらの要因により、電子メールゲートウェイでいくらポリシーを設定しても、これらの攻撃を検出することはできないのです。
組織と、そこで働く人々を保護する方法
攻撃者は、さまざまなID詐欺の戦術を駆使して、BECなどのなりすましメール攻撃により組織の従業員、パートナー、および顧客を狙います。狙われている人々にこれらの攻撃が到達する前にブロックするためには、多階層のセキュリティアプローチを実装することが重要です。
メール認証:デバイス、アプリケーション、金融取引、さらには物理的な入退室管理など、信頼性が要求されるものについて認証を行うことは、一般的な方法です。電子メールは現代の組織にとって最大の攻撃経路であることから、電子メール認証の導入が必要です。電子メール認証は重要な本人確認層となり、ゲートウェイに到達する前に不正な電子メールをブロックすることができます。
動的な電子メール分類:電子メール送信者の身元を確認した後、組織が受信した電子メールのコンテンツとコンテキストを確認し、動的に電子メールを分類します。このセキュリティ層では、送信者のレピュテーション、電子メールの送受信履歴、電子メールの件名などを調べ、リスクに基づいてメールにスコアを付け、そのスコアに基づいてメールの処理方法を決定します。
セキュリティ意識向上トレーニング:なりすまし攻撃は、従来型のセキュリティ層を回避するように設計されているため、多くの場合、人々が最後の防衛線になります。実際の詐欺メール攻撃をシミュレートして人々をトレーニングするソリューションが必要です。これらのシミュレートされた攻撃に誰が反応したかを追跡し、状況に応じて適切なトレーニングを提供することで、これらの高度な攻撃から組織を保護するために必要な知識とスキルを維持することができます。
電子メールベースのID詐欺から人々を保護する方法の詳細については、Proofpointの電子メール詐欺防止ガイドをご覧ください。