ビジネスメールのセキュリティ侵害(BEC)

受信ボックス内の見慣れた送信者名が必ずしも思っている相手とは限りません。

概要

詐欺メールは相手をだまし、時に一回で数十万ドルにも上る金額の電信送金をさせたり、企業または個人の機密データを送信させたりします。  こうしたメールは最高経営責任者(CEO)や他の役員から送信されたように見せかけ、受信者に詳細の秘密保持を求めます。

脅威を理解する

どのようなしくみか

詐欺メールは様々な名前を使用することで知られ、ビジネスメールセキュリティ侵害(BEC)、CEO詐欺とも呼ばれています。 この脅威は、CEO、CFOなど組織の長からメールを受け取り、次のいずれかが要求されていると被害者に思わせるよう意図されています:社外への送金(通常はこのケース)、または、W2フォームなど社員に関する個人を特定できる情報 (PII) 。

これらは明確に標的を定める脅威で、組織内で適切な人物を探し、命令系統をつかみ、メール送信に最適な時間帯を特定するための綿密な調査から始めます。最も成功率を上げるには「送信者」の旅行中が理想的です。 こうした脅威には手間がかかりますが、頻度は低くありません。数千社もの企業が毎月この種の脅威の影響を受けています。 FBIは最初に、詐欺メールにより2015年に企業が被った被害を20億ドル超と見積もりました。

これらの脅威はマルウェアよりもソーシャルエンジニアリングに依存しているため、詐欺メールが悪意のあるコンテンツや動作のみを探すセキュリティソリューションをすり抜けることが往々にしてあります。

bec_example-1.jpg

防御方法

セキュリティ防御ツールは多くの場合、悪意のあるドキュメントや、ブラックリストに記載された既知のURLを検索して不審なメールとの判断を下します。 しかし詐欺メールの脅威の場合、こうした明白な特徴が備わっていることはまれです。 こうした脅威はむしろ、ソーシャルエンジニアリングや、忙しくて疲れている、あるいは正直で、送金や情報送信を求める偽の要求に応えるような社員に当てにしています。 詐欺メールの最後の防衛線は、警戒を怠らない社員です。 多くのフィッシングの企みやメールをベースとした攻撃同様、詐欺メールの脅威には顕著な特徴があり、メッセージが組織の防御をくぐり抜けた場合、ユーザーに赤信号を送るはずです。

  • 会社役員からの異例の情報の要求: いったいどれだけのCEOが、実際に社員のW2フォームや税金の情報を確認するでしょうか? 大抵の人が、企業トップからのメールには当然直ちに返信しますが、メールの要求が理にかなったものかどうかを立ち止まって考える価値はあります。 CFOならば、給与の集計データや特別レポートを要求するかもしれませんが、社員個人のデータとなるとあまりあり得ないことです。
  • どれほど要求が緊急であっても、請求書や支払を処理する会計システムがほとんどの組織にあります。 例えば、電信送金を早急に行うよう求める役員からのメールがこうしたチャネルを回避する場合、メールの受信者は疑いを持つはずです。
  • 通常のチャネルを回避する要求: ほとんどの組織に会計システムが存在するため、電信送金を至急行わなければならない、ということを受信者が疑わしく思うはずです。
  • 言語の問題および通常とは異なる日付フォーマット:誘惑メールの中には完璧な文法のものもあれば、CEOが片言英語の場合もあります。 しかし、ヨーロッパの日付フォーマット(日、月、年)や、メールが英語を母国語としない者によって書かれたことを示唆する文章構成などは、こうした攻撃に共通して見られます。
  • 「返信」用アドレスが送信者のアドレスと一致しない: メールクライアントまたはWebメールのアプリケーションではこれはあまり明白ではありませんが、詐欺メールの脅威では一般に、なりすましの送信者アドレスが特徴となっています。 受信者をだます目的で、一見したところ類似しているドメイン名が使用されることもあります(例:yourcompany.comの代わりにyourc0mpany.comを使用)。
     

50-50-threat-keyboard.jpg

ますます一般化するこうした攻撃に際し、組織を守るヒントのいくつかをこちらでご紹介します:

  • 疑う。 説明の要求、ITへのメール転送、同僚への確認などを行うことは、中国のペーパーカンパニーに数十万ドルを送金するよりは簡単です。
  • 何かがおかしいと感じた時、恐らくそれは当たっています。 社員には直感を信じるよう、そして「本当にCEOがこれをしろと言うだろうか?」、「なぜこのサプライヤーはこの会社のポータルで請求書を提出するのだろうか?」と問うよう促します。
  • 落ち着いて行動する。 攻撃者は、理由あってこちらのピークの時間帯に合わせてキャンペーンを行います。 人事のマネージャーがメールのチェックを素早く済ませようとしていた場合、特定のリクエストが疑わしいものかどうか立ち止まって考える可能性が低くなります。
  • 最も重要なメッセージはおそらく、安定したメール、ネットワークおよびエンドポイントのセキュリティソリューションをユーザー教育の取り組みとともに活用しなければならない、というものでしょう。 

Proofpoint Email Protectionで詐欺メールから守る  保護のためのメールセキュリティ

white-paper-cover-1.jpg

詐欺メールの動機と破壊行為を理解する

詐欺メールは、役員になりすまして相手をだまし、サイバー犯罪者あてに送金または個人情報の送信をさせるよう意図されています。 Proofpoint Email Protectionがどのように動的分類ツールと隔離機能を駆使し、攻撃テクニックの素早い発見、報告、また阻止を可能にするかを学びます。

Proofpoint Wins Best Email Security Solution Trust Award from SC Magazine

Cloud-based Enterprise Protection solution combines next-generation email security and compliance to stop messaging threats.

Business Email Compromise Attacks Increase, $3.1B in Exposed Losses: FBI Warning

The need to protect organizations, both large and small, from BEC threats has never been greater.

Proofpoint Positioned as a Leader in the 2015 Gartner Magic Quadrant for Secure Email Gateways

Proofpoint, Inc. announces Gartner, Inc. has positioned Proofpoint in the leader’s quadrant of its “Magic Quadrant for Secure Email Gateways” for the seventh consecutive year.