おそらくみなさんは、「ビジネスメール詐欺(BEC: Business Email Compromise)という言葉をお聞きになったことがあるかと思います。しかし、BECとすごく似ている「Eメールアカウント侵害(EAC: Email Account Compromise)」という言葉はお聞きになったことがありますか?
実際のところ、ビジネスメール詐欺(BEC)とEメールアカウント侵害(EAC)は、すごく似ており、FBIは2017年以降、これらの詐欺をひとくくりの犯罪の種類として扱っています。では、Eメールアカウント侵害(EAC)とは何でしょうか?
Eメールアカウント侵害(EAC)とは?
Eメールアカウント侵害 (EAC) は、攻撃者がパスワードスプレー攻撃(IDとパスワードの組み合わせを機械的に試しログインしようとすること)、フィッシング(人を騙して情報を入力させようとすること)、マルウェア(ウイルス)などの様々な手口を用いて、被害者のメールアカウントを侵害し、正規のメールボックスにアクセスする高度に洗練された攻撃です。また、EACは、攻撃者がソーシャルエンジニアリングを利用してターゲットを騙したり脅したりして、金銭の支払いを要求させるメール詐欺にもつながります。ほとんどのEACでは、被害者は2名になります-メールアカウントが侵害された人と、侵害されたメールアカウントからの詐欺的な要求に引っかかるもう1人の人です。
EACはどのように作用するのか?
攻撃者が正規のメールボックスへのアクセスを得るには、いくつかの方法があります。ブルートフォース攻撃は最も一般的なパスワードクラッキング方法の一つで、攻撃者は自動化されたツールを使用して、侵入できるまで何度も何度も繰り返し、ユーザ名とパスワードの組み合わせを試みます。
その他の一般的な攻撃手法としては、認証情報を盗むために設計された偽のウェブサイトへのリンクをメールで送信するフィッシングなどがあります。また攻撃者は、キーロガーや盗聴器のようなマルウェアを利用して、ターゲットのアカウントに侵入することもあります。どのような戦術であっても、攻撃者はあなたになりかわることを目的としています。
攻撃者が標的とする電子メールアカウントに正規のIDとしてアクセスできるようになると、電子メール、カレンダー、サプライヤーや顧客との重要な会議、企業ディレクトリ、さらにはファイル共有のファイルなど、情報の宝庫にアクセスして被害者をプロファイリングすることができるようになります。さらに重要なことに、攻撃者はメールの転送ルールを作成したり、アカウントの権限を変更したりすることでアクセスを維持します。これにより、被害者を綿密に監視したり、ビジネスを研究したりすることができます。攻撃者は被害者を模倣し、得た知識を利用して非常に説得力のあるタイムリーなメッセージを作成し、タイミングの良い時にメールを送信します。
EAC攻撃のターゲットには、従業員、個人および企業の電子メール、ビジネスパートナー、顧客などが含まれます。Eメールアカウント侵害は、多くの場合、以下のような攻撃シナリオへと発展します。
サプライチェーン ハイジャック
シナリオ1: あなたの会社の経理部門を侵害する場合
攻撃者は、経理部門の従業員のメールアカウントを侵害します。一度侵入すると、攻撃者はメールプラットフォーム内で転送ルールを作成し、すべてのメッセージのコピーを収集し始めます。次に、侵害されたアカウントから得た請求書の流れや顧客とのやりとりなどの知識を利用して、適切な用語やロゴを使用して、同じように見える請求書を作成し、顧客に送信します。顧客が請求書を支払うと、そのお金はあなたの会社ではなく詐欺犯の銀行口座に振り込まれます。顧客はあなたの会社に支払ったと思っていますが、実際には知らず知らずのうちに詐欺犯に支払っています。その結果、あなたの会社はあなたに支払うべきお金を失うだけでなく、深刻な顧客満足度の問題を抱えることになります。
シナリオ2: あなたの会社の取引先の経理部門を侵害する場合
攻撃者はあなたの会社の取引先であるサプライヤーのメールアカウントを侵害します。上記の例のように、攻撃者はあなたとサプライヤーの間のすべての詳細と関係性を学習しています。そして、非常によく似た請求書を作成し、あなたの会社に送信します。この時だけは、攻撃者は銀行情報を送金先の銀行口座に置き換えます。その結果、あなたのサプライヤーはあなたの会社からの支払いを受けることはなく、あなたの会社は詐欺師に誤って支払いをしたことで金銭的な損失を被ることになります。これは、サプライヤーとの取引関係にもダメージを与えます。
支払先口座の変更
攻撃者が従業員のメールアカウントを侵害し、人事部にメールを送り、攻撃者の銀行口座に振り込み先を変更する手法もよく見受けられます。また場合によっては、攻撃者が経営幹部のメールアカウントを侵害し、M&A(合併・買収)活動など被害者組織のビジネスを調査します。その後、攻撃者は、侵害された経営幹部のアカウントを使って経理部に電子メールを送信し、買収を完了するための電信送金を行うよう依頼しますが、振込先の銀行口座は攻撃者のものに置き換えられています。
ビジネスメール詐欺(BEC) と Eメールアカウント侵害(EAC)の違い
BECとEACに共通しているのは、攻撃者が人を文面などで騙す「ソーシャル エンジニアリング」の手法を駆使して、偽の電信送金や支払いを要求したり、情報を盗んだりすることです。ビジネスメール詐欺(BEC)とEメールアカウント詐欺(EAC)の最大の違いは、BECの場合は攻撃者があなたになりすましているのに対し、EACの場合は攻撃者があなたになりかわるということです。BEC の場合、攻撃者は、ドメインの詐称、表示名の詐称、類似ドメインなどの手法を用いて、人々を騙して支払いをおこなわせるなどの詐欺をおこなっていきます。EACに関しては、攻撃者はあなたのメールアカウントを侵害する様々な方法を見つけて、実際にあなたの正規のアカウントを用いて、「あなたになりすます」ようにします。彼らがあなたの正規の電子メールを使用して、内部で、あるいはあなたのビジネスパートナーや顧客との間で電子メール詐欺を行う場合、SPF、DKIM、DMARCなどの電子メール認証コントロールを迂回することができます。
ビジネスメール詐欺(BEC) と Eメールアカウント侵害(EAC)に対抗するには?
EACとBECは非常に密接に関連しているため、組織を保護するためには、全体的なアプローチを取ることが重要です。言い換えれば、EACだけを対象にしていると、問題の一部にしか対処していないことになります。最も効果的な保護のためには、BECとEACの両方を解決する必要があります。
これらの攻撃に対抗するには、特効薬はありません。すべての攻撃者の戦術に対応する包括的なソリューションが必要です。単一の技術的管理やセキュリティ意識向上のためのトレーニングだけに頼っているだけでは、組織は危険にさらされてしまいます。BECおよびEAC攻撃から組織を守る方法の詳細については、ぜひ、「ビジネスメール詐欺やメールアカウント侵害から組織を守る7つの方法」を参考にしてみてください。