概要

詐欺メールは相手をだまし、時に一回で数十万ドルにも上る金額の電信送金をさせたり、企業または個人の機密データを送信させたりします。 こうしたメールは最高経営責任者(CEO)や他の役員から送信されたように見せかけ、受信者に詳細の秘密保持を求めます。

どのようなしくみか

詐欺メールは様々な名前を使用することで知られ、ビジネスメールセキュリティ侵害(BEC)、CEO詐欺とも呼ばれています。 この脅威は、CEO、CFOなど組織の長からメールを受け取り、次のいずれかが要求されていると被害者に思わせるよう意図されています:社外への送金(通常はこのケース)、または、W2フォームなど社員に関する個人を特定できる情報 (PII)。

これらは明確に標的を定める脅威で、組織内で適切な人物を探し、命令系統をつかみ、メール送信に最適な時間帯を特定するための綿密な調査から始めます。最も成功率を上げるには「送信者」の旅行中が理想的です。 こうした脅威には手間がかかりますが、頻度は低くありません。数千社もの企業が毎月この種の脅威の影響を受けています。 FBIは最初に、詐欺メールにより2015年に企業が被った被害を20億ドル超と見積もりました。

これらの脅威はマルウェアよりもソーシャルエンジニアリングに依存しているため、詐欺メールが悪意のあるコンテンツや動作のみを探すセキュリティソリューションをすり抜けることが往々にしてあります。

bec_example-1.jpg

防御方法

セキュリティ防御ツールは多くの場合、悪意のあるドキュメントや、ブラックリストに記載された既知のURLを検索して不審なメールとの判断を下します。 しかし詐欺メールの脅威の場合、こうした明白な特徴が備わっていることはまれです。 こうした脅威はむしろ、ソーシャルエンジニアリングや、忙しくて疲れている、あるいは正直で、送金や情報送信を求める偽の要求に応えるような社員に当てにしています。 詐欺メールの最後の防衛線は、警戒を怠らない社員です。 多くのフィッシングの企みやメールをベースとした攻撃同様、詐欺メールの脅威には顕著な特徴があり、メッセージが組織の防御をくぐり抜けた場合、ユーザーに赤信号を送るはずです。

  • 会社役員からの異例の情報の要求: いったいどれだけのCEOが、実際に社員のW2フォームや税金の情報を確認するでしょうか? 大抵の人が、企業トップからのメールには当然直ちに返信しますが、メールの要求が理にかなったものかどうかを立ち止まって考える価値はあります。 CFOならば、給与の集計データや特別レポートを要求するかもしれませんが、社員個人のデータとなるとあまりあり得ないことです。
  • どれほど要求が緊急であっても、請求書や支払を処理する会計システムがほとんどの組織にあります。 例えば、電信送金を早急に行うよう求める役員からのメールがこうしたチャネルを回避する場合、メールの受信者は疑いを持つはずです。
  • 通常のチャネルを回避する要求: ほとんどの組織に会計システムが存在するため、電信送金を至急行わなければならない、ということを受信者が疑わしく思うはずです。
  • 言語の問題および通常とは異なる日付フォーマット: 誘惑メールの中には完璧な文法のものもあれば、CEOが片言英語の場合もあります。 しかし、ヨーロッパの日付フォーマット(日、月、年)や、メールが英語を母国語としない者によって書かれたことを示唆する文章構成などは、こうした攻撃に共通して見られます。
  • 「返信」用アドレスが送信者のアドレスと一致しない: メールクライアントまたはWebメールのアプリケーションではこれはあまり明白ではありませんが、詐欺メールの脅威では一般に、なりすましの送信者アドレスが特徴となっています。 受信者をだます目的で、一見したところ類似しているドメイン名が使用されることもあります(例:yourcompany.comの代わりにyourc0mpany.comを使用)。

50-50-threat-keyboard.jpg

ますます一般化するこうした攻撃に際し、組織を守るヒントのいくつかをこちらでご紹介します:

  • 疑う。 説明の要求、ITへのメール転送、同僚への確認などを行うことは、中国のペーパーカンパニーに数十万ドルを送金するよりは簡単です。
  • 何かがおかしいと感じた時、恐らくそれは当たっています。 社員には直感を信じるよう、そして「本当にCEOがこれをしろと言うだろうか?」、「なぜこのサプライヤーはこの会社のポータルで請求書を提出するのだろうか?」と問うよう促します。
  • 落ち着いて行動する。 攻撃者は、理由あってこちらのピークの時間帯に合わせてキャンペーンを行います。 人事のマネージャーがメールのチェックを素早く済ませようとしていた場合、特定のリクエストが疑わしいものかどうか立ち止まって考える可能性が低くなります。
  • 最も重要なメッセージはおそらく、安定したメール、ネットワークおよびエンドポイントのセキュリティソリューションをユーザー教育の取り組みとともに活用しなければならない、というものでしょう。

white-paper-cover-1.jpg

人は何故、信じるのか

今やエクスプロイトの最大の標的は「人」です。組織は侵害される前に情報資産とリスクを特定し、人々の「仕事の仕方」を守らなければなりません。

重要な機密情報は増え続けており、一方でデバイスの多様化やクラウドアプリ、モバイルでの活動範囲の広がりなど、攻撃に晒される側面は大きくなる一方です。従来型の防御技術ではもはや太刀打ちできません。

本ホワイトペーパーは、クレデンシャルフィッシング攻撃が成功する前に検知し、緩和し、対応するために Proofpoint Targeted Attack Protection がどのように役立つかを解説しています。

メール詐欺サバイバル ガイド

ビジネスメール詐欺 (BEC) やメールアカウント侵害 (EAC) は、多層的な防御策が必要になる複雑な問題です。

Proofpoint Email Protection データシート

Proofpoint Email Protectionにより、マルウェアを用いるメール脅威もマルウェアを用いない悪意のあるメール脅威も検知し、阻止します。

メール セキュリティ ソリューションの概要

電子メールにOffice 文書やPDF を添付して送ることが一般化していますが、近年では、マルウェアを仕込んだ添付ファイルを送りつけてくる攻撃が増え、しかもその手法は年々進化しています。