BEC(Business Email Compromise: ビジネスメール詐欺)という言葉を聞いたことがあるのではないでしょうか。しかし、BECと類似しているEAC(Email Account Compromise: Eメールアカウント侵害)については、まだ耳にしたことがないかもしれません。実際、BECとEACは非常に似ており、FBIは2017年以降、これらの二つの詐欺を同一の犯罪タイプとして扱っています。では、EACとは一体何なのでしょうか?仕組みやBECとの違いなどを解説していきます。
無料トライアル
無料トライアルのお申し込み手順
- 弊社のサイバーセキュリティ エキスパートが貴社に伺い、セキュリティ環境を評価して、脅威リスクを診断します。
- 24 時間以内に最小限の構成で、30 日間ご利用いただけるプルーフポイントのソリューションを導入します。
- プルーフポイントのテクノロジーを実際にご体験いただきます。
- 組織が持つセキュリティの脆弱性に関するレポートをご提供します。このレポートは、サイバーセキュリティ攻撃の対応に直ちにご活用いただくことができます。
フォームに必要事項をご入力の上、お申込みください。追って、担当者よりご連絡させていただきます。
Proofpointの担当者がまもなくご連絡いたします。
EACとは?
EAC(Eメールアカウント侵害)とは、攻撃者がパスワードスプレー、フィッシング、マルウェアなどさまざまな手口を使って被害者のメールアカウントを侵害し、正規のメールボックスにアクセスできるようにする高度に洗練された攻撃です。EACはメール詐欺にもつながり、攻撃者はソーシャルエンジニアリングを用いてターゲットを騙したり脅したりして、不正な金銭的支払いを促します。EACの場合、通常2人の被害者がいます。メールアカウントが侵害された人と、侵害されたメールアカウントからの不正な要求に引っかかる人です。
EACの仕組み
攻撃者が正規のメールボックスにアクセスする方法はいくつかあります。ブルートフォース攻撃は、最も一般的なパスワードクラッキング手法のひとつで、攻撃者は自動化ツールを使ってユーザー名とパスワードを何度も試行し、侵入できるまで繰り返します。その他の一般的な攻撃手法にはフィッシングがあり、攻撃者は認証情報を盗むために設計された偽のウェブサイトへのリンクを記載したメールを送信します。また、攻撃者は、キーロガーやスティーラーのようなマルウェアを利用して、ターゲットのアカウントに侵入することもあります。どのような手口であれ、攻撃者はあなたになりかわることを目的としています。
攻撃者が一度ターゲットのメールアカウントの正当なアクセス権を得ると、メール、カレンダー、サプライヤーや顧客との重要な会議、企業ディレクトリ、さらにはファイル共有内のファイルなど、被害者をプロファイリングするための情報の宝庫にアクセスできるようになります。さらに重要なことに、攻撃者はメールの転送ルールを作成したり、アカウントのアクセス許可を変更したりすることでアクセス権を維持し、被害者を注意深く監視してビジネスを探ることができます。攻撃者は被害者を模倣し、得た知識を駆使して説得力のあるタイムリーなメッセージを作成し、適切なタイミングでメールを送信します。
EAC攻撃のターゲットには、従業員、個人メール、企業メール、ビジネスパートナー、顧客などが含まれます。Eメールアカウント侵害は、多くの場合、以下のような手口で行われます。
サプライチェーン ハイジャック
シナリオ1: あなたの会社の経理部門が侵害された場合
攻撃者は、経理部門の従業員のメールアカウントを侵害します。侵入すると、攻撃者はメールプラットフォーム内に転送ルールを作成し、すべてのメッセージのコピーを収集し始めます。そして、攻撃者は侵害されたアカウントから得た知識(請求の流れや顧客とのやり取りなど)を使って、適切な用語やロゴを使い、類似の請求書を作成し、顧客に送信します。顧客が請求書への支払いを行うと、そのお金はあなたの会社ではなく、詐欺師の銀行口座に直接振り込まれます。顧客はあなたの会社に支払ったつもりでいますが、実際には詐欺師に知らず知らずのうちに支払っています。その結果、あなたの会社は支払われるべき金銭を失うだけでなく、深刻な顧客満足度の問題を抱えることになります。
シナリオ2: あなたの会社の取引先の経理部門が侵害された場合
攻撃者はあなたのサプライヤーのメールアカウントを侵害します。上記の例と同じように、攻撃者はあなたとサプライヤーとの間のすべての詳細とやりとりを学習します。そして、類似の請求書を作成し、あなたの会社に送信します。この時、攻撃者は銀行情報を攻撃者の銀行口座に置き換えます。その結果、サプライヤーはあなたの会社からの支払いを受け取ることができず、あなたの会社は詐欺師への不正な支払いによる金銭的損失を被ることになります。また、サプライヤーとのビジネス関係も損なわれます。
支払先口座の変更
攻撃者は、従業員のメールアカウントを侵害し、被害に遭った従業員の口座振替を攻撃者の銀行口座に更新するよう求めるメールを人事部に送信します。場合によっては、攻撃者は経営幹部のメールアカウントを侵害し、合併買収(M&A)活動など被害者のビジネスを調査します。その後、攻撃者は侵害された経営幹部のアカウントを使って経理部門にメールを送信し、買収を完了させるために送金取引を実行するよう要求します。このとき銀行口座情報は攻撃者によって置き換えられています。
EACとBECの違い
BECとEACの共通点は、人をターゲットにし、ソーシャルエンジニアリングを駆使して不正な送金や支払いを要求したり、情報を盗んだりするように設計されていることです。BECとEACの最大の違いは、BECでは攻撃者があなたになりすますのに対し、EACでは攻撃者があなたになりかわることです。BECの場合、攻撃者は多くの場合、ドメインスプーフィング、表示名スプーフィング、類似ドメインなどのID詐称の手口を使い、人々を騙して不正口座に支払いを行わせます。EACの場合、攻撃者はあなたのメールアカウントを侵害するさまざまな方法を見つけ、「あなたになりかわる」ことができます。正規のメールを使用して社内やビジネスパートナー、顧客との間でメール詐欺を行う場合、SPF、DKIM、DMARCなどのメール認証制御を回避することができます。
EAC/BEC対策
EACとBECは非常に密接な関係にあるため、組織を保護するためには全体的なアプローチを取ることが重要です。言い換えれば、EACの対策だけに焦点を当てるのでは、問題の一部にしか対処していないことになります。最も効果的な保護のためには、BECとEACの両方を対策する必要があります。
このような攻撃には複数の手口やチャネルが複雑に絡んでいるため、攻撃者のあらゆる手口に対応する包括的なソリューションが必要です。単一の技術的コントロールやセキュリティ意識向上トレーニングだけに頼っていては、組織は無防備になってしまいます。BECおよびEAC攻撃から組織を守る方法の詳細については、Proofpointのソリューションをご覧ください。ウェビナー「How to Solve the $260 Billion Problem of Business Email & Account Compromise」もご活用ください。