ビジネスメール詐欺(BEC)による被害とは?~ランサムウェアの9倍以上の被害をもたらす犯罪の実像を分析~
BECは法人組織の経営層や従業員を騙し、不正な送金処理を実施させる詐欺の手口です。BECは生成系AIなど最新技術の悪用など、脅威の深刻化も指摘されています。一方で、BECは海外拠点とのやり取りの中での被害が目立っています。本記事では、BECの最新脅威状況と企業担当者がとるべき対策を解説します。
BEC(ビジネスメール詐欺)の脅威が増加傾向に
BECは法人組織の経営層や従業員を巧妙なメールなどを使って騙し、不正な送金処理を実施させる詐欺の手口です。一般的な詐欺と異なるのは、サイバー犯罪者は標的とする法人組織の業務メールを事前に盗み見ることで、標的組織における人間関係、言葉遣い、送金手続きなどに関する詳しい情報を入手し、その情報を悪用して非常に巧妙な手口で騙してくる点です。そのため、トレンドマイクロではBECを「業務メールの盗み見を発端とした送金詐欺」の総称と定義しています※1。
※1 米国連邦捜査局(FBI)では「BECは海外取引先と電信送金を介して支払する企業を標的とした巧妙な詐欺である。その手口は、偽の送金処理を目的に、ソーシャルエンジニアリング攻撃や コンピュータへのハッキングによって正規のメールアカウントを侵害して行われる」と定義しています。
(参考:https://www.ic3.gov/media/2016/160614.aspx)
標的組織の業務メールを盗み見るため、サイバー犯罪者はフィッシングメールなどを送りつけてメールアカウントの認証情報の窃取や、不正プログラムによってメール情報を窃取しようとします。こうして盗み出した情報を基に、ソーシャルエンジニアリング(人々を巧みに操り、特定の行為をさせたり、ある情報を引き出させたりする際に用いられる心理的な手法)を仕掛け、最終的に不正な送金処理を行わせます。ランサムウェアや標的型攻撃といった技術的に高度な攻撃スキルが必要とされる脅威と比べると、BECにおけるメールの盗み見やソーシャルエンジニアリングの手口は技術的に高度な手法ばかりではないため、サイバー犯罪者にとっては引き続き選択しやすい攻撃と言えるでしょう。
実際、米国連邦捜査局(FBI)インターネット犯罪苦情センター(IC3:Internet Crime Complaint Center)が公開した「Internet Crime Report(インターネット犯罪リポート)」によると、2022年に同局に報告されたBEC被害は21,832 件で、被害額は27億米ドルを超えています(同レポートでは、ランサムウェアの被害は2,385件、被害額は3,430万米ドル以上)。また、クラウドサービス向けセキュリティサービス「Trend Micro™ Cloud App Security」を使用して検出およびブロックされた 2022年間のBECは383,928件となり、前年比で35%増加しました。
ディープフェイクなど最新技術の悪用でBECが容易に
BECの活動は「BEC as a Service」といったプレイブック(条件に応じた処理の自動化を設定したスクリプト)が登場するほど成熟しています。近年では、ディープフェイクなどAIを活用した新しい技術によっても進化を続けており、トレンドマイクロの調査でもサイバー犯罪者は、組織や金融機関を騙して金銭的利益を得る可能性を高めるためにディープフェイクなどで悪用し始めていることが分かっています。2022年8月に発生した事例では、暗号資産取引所サイト「Binance」のコミュニケーション担当役員を装ったディープフェイクの人物像が公開されたというニュースが報じられました。また、アンダーグラウンド上では、ディープフェイクによってBinanceの本人確認などの認証を回避する手口も議論されていたことを当社で確認しています。今回のニュースにおけるサイバー犯罪者の場合、2021年以降から、ディープフェイクを使ってBinanceの対面認証を突破する手口を模索してきたこととも推察できます。
特に最近では、OpenAIのChatGPTを始めとする生成系AIを悪用することで、経験の浅いサイバー犯罪者でもBECやフィッシングメールのコピーを入手したり、悪意のあるコードを作成したりすることも可能にすることが指摘されています。
海外取引先企業や関連会社がウィークポイントに
BECは勢いが衰えない脅威である一方で、被害事例で目立つのは、海外取引先企業や海外関連会社とのやりとりの中で発生した事例です。独立行政法人情報処理推進機構(IPA)は被害の早期発見や、未然防止、啓発活動における事例紹介の一部として、ビジネスメール詐欺の事例集を公開していますが、2023年6月時点で公開されている事例の全てが海外取引企業や海外関連会社とやりとりした中での被害事例となっています。また、トレンドマイクロとポネモン研究所(Ponemon Institute)が共同で実施した2022年下半期のサイバーリスクに関する国際意識調査「Cyber Risk Index」でも、「今後12か月の間に懸念されるサイバー脅威」のTOP5に、BECは日本ではランクインしていないものの、全世界ではBECが3位になっています。海外では多くの企業や組織でBECの脅威が認識されていることが推測されます。
図:今後12か月の間に懸念されるサイバー脅威のTOP5(2022年下半期のサイバーリスクに関する国際意識調査「Cyber Risk Index」より)
これは日本国内組織における送金や振り込み関連の業務フローがある程度整備されており実際の金銭被害まで繋がることが少ないことや、海外のサイバー犯罪者にとっては言語の壁が高く、日本の企業や組織に対してBECを仕掛ける費用対効果が他国に比べて低い可能性があると推測しています。しかし、前述したように今後、生成系AIなどの最新技術の悪用によって言語の障壁が減り、攻撃数が増えることで警戒すべき脅威となる可能性もあるので、BECの動向を引き続き注視していく必要はあると考えます。
海外に取引先を持つ企業がとれるBEC対策は
それでは、特に海外取引先企業や海外関連会社を持つ企業がとれる対策はどのようなものがあるのでしょうか。「技術」、「人」、「プロセス」の観点で見ていきましょう。
まずは「技術」の観点です。そもそもBEC攻撃を仕掛ける前には、標的組織の情報をフィッシングメールや不正プログラムが添付されたメールによる攻撃によって窃取されている可能性が高いため、メールセキュリティ対策を導入することはBEC被害を防ぐことに繋がります。また、メールセキュリティ対策の導入有無を取引先企業や関連会社にも監査を実施し、サプライチェーン全体のセキュリティレベルを向上して、BEC被害のリスクを低減していくことも中長期的な対策の1つといえるでしょう。AIを利用してメール作成者の書き方の癖を分析し、ソーシャルエンジニアリング攻撃を検出する技術や、添付された不審なファイルの安全性を検証するサンドボックス機能など、メール対策においても最新の複数の防御技術を組み合わせて保護することも、よりBEC攻撃のリスクを低減に有効です。また、サイバーセキュリティプラットフォームと呼ばれるソリューションの中には、メールセキュリティ製品と連携しメールボックスをスキャンしリスクを診断する機能を搭載しているものもあります。
加えて、ゼロトラスト モデルの考えでユーザーのIDを管理および監視することも有効な策となります。ゼロトラストアプローチを採用することは、たとえサイバー犯罪者が正規のアクセス権限を持ったアカウントを悪用して組織のネットワーク内での探索活動を行ったとしても、不審なアクティビティがないかを監視して継続的なリスク分析を行うことができます。こうすることで、早期発見に繋がります。
「人」の観点では、BECは、その攻撃手法の特性上、セキュリティソリューションだけでは防ぎきることが難しい脅威です。最終的に送られてくる偽の送金指示メールや支払い依頼メールなどは、乗っ取った正規のアカウントを悪用するなどし、違和感のないタイミングで通常の業務メールのやり取りに紛れ込ませて送られてくるため、メールセキュリティ対策をすり抜けてくることがあります。そのため、BECに騙されないよう自組織の従業員を教育することに加え、海外取引先や海外関係会社の従業員には被害事例を認識してもらうような脅威啓発が非常に重要になってきます。
最後に「プロセス」の観点です。リスクをできる限り低くするよう、高額の送金処理に関するポリシー整備や処理・決済手順の整備・徹底が求められます。決済処理に関するポリシーや手順の整備の例としては以下などがあげられます。
① 送金処理に関する社内ポリシーならびに処理・承認のプロセスや手順を文書化する
② 一定額を超える送金処理の場合には、別拠点の担当者やネイティブスピーカーの確認といったような複数の階層、段階を通さないと承認されないような仕組みを制度化する
③ 高額か否かに関わらず、送金処理については社内システム上登録されたものしか処理できない仕組みにする
④ 振込先の変更などの手続きは、メールなどで行うのではなく書面での通知や本人確認ができているもののみを処理するようにする。
本記事では、増加傾向にあるBECの最新動向、国内企業がとるべき対策についてまとめました。テレワーク環境やオフィスといったハイブリッド環境におけるセキュリティ強化や、今後ますます拡大するであろう海外拠点とのやり取りを踏まえて、今のBEC対策が十分であるか実際に自組織で想定されるリスクを鑑みて検討されることが推奨されます。
Security GO新着記事
Webスキミングとはどのような攻撃なのか?~決済情報の非保持化でも被害に遭う脅威~
(2024年11月8日)
ソブリンクラウドとは?プライベートクラウドやガバメントクラウドとの違いを解説
(2024年11月5日)