最近の会話で、引退した FBI 捜査官のスコット・オーゲンバウムとジェームズ・モリソンは、連邦職員としての長いキャリアについて語り、サイバー犯罪の進化する状況に関する経験と独自の洞察を共有しました。両捜査官は合わせて 60 年を超える経験があり、法執行とサイバーセキュリティに関する彼らの視点は特に貴重です。
サイバー犯罪への道
キャリアはそれぞれ異なる道を歩んできましたが、2 人の捜査官はサイバー犯罪の捜査に深く注力しているという共通点があります。スコット・オーゲンバウムは 30 年間のキャリアのほとんどを、特にデジタル環境の拡大に伴い増大するサイバー犯罪の脅威への対処に費やしました。会話の中で、スコットはサイバー犯罪が急速に進化し、国家安全保障に対する最も重大な脅威の 1 つになったことを強調しました。
一方、ジェームズ・モリソンは連邦法執行のさまざまな側面に焦点を当てながら、FBI のサイバー犯罪対策に貢献しました。両捜査官は、サイバー脅威はますます高度化しており、デジタル フォレンジックとサイバーセキュリティを専門とする新世代の法執行機関の専門家が必要であることを認めました。
ビジネスメール詐欺の理解
ビジネスメール詐欺 (BEC) は、サイバー空間で急速に拡大している脅威であり、企業のセキュリティへの取り組み方を変えています。ランサムウェアやフィッシング攻撃がニュースの見出しを賑わせることが多い一方で、BEC はあらゆる規模の企業から何十億ドルもの資金をひそかに吸い上げています。なりすましやスプーフィングなどの戦術により、サイバー犯罪者は権力のある従業員をターゲットにし、不正な電信送金を承認させたり機密情報を開示させたりします。
この詐欺の最も憂慮すべき側面の 1 つは、その単純さです。BEC 攻撃は通常、侵害された従業員 (通常は財務部門の誰か) のメール アカウントから始まります。このメール アカウントの侵害は、多くの場合、フィッシング メールまたはマルウェア感染が原因で発生します。その後、詐欺師は侵害されたアカウントにアクセスし、不正な請求書を送信したり、不正な銀行口座への電信送金を要求したりします。
ビジネスメール詐欺 (BEC) とは何ですか?
ビジネスメール詐欺攻撃の本質は、信頼できるビジネス関係やメール通信を悪用する詐欺スキームです。これらのサイバー攻撃の一般的な展開は次のとおりです。
標的型フィッシング攻撃:
サイバー犯罪者は、最高財務責任者 (CFO) や会計係など、企業内の財務権限を持つ人物に疑わしいメールを送信します。メールは正当なメールのように見え、受信者は悪意のあるリンクをクリックするか、システムにマルウェアをインストールするファイルをダウンロードするように仕向けられます。これによりアカウントが侵害され、犯罪者はターゲットのログイン認証情報にアクセスできるようになります。
メールアカウントの乗っ取り:
従業員のアカウントに侵入すると、詐欺師は正当なメールドメインからメッセージを送信します。これらのメールには、電信送金の要求や機密データの要求が含まれている場合があります。これらのメールは組織内の誰かから送信されたように見えるため、警告が出されることはほとんどありません。
不正な請求書:
詐欺師は通常、社内および外部のパートナーやベンダーに偽の請求書を送信します。こうした請求書は、通常 5,000 ドルから 10,000 ドル程度の少額の金額であることが多いため、疑われることはありません。ただし、詐欺に気付かなかったために不正な銀行口座に数百万ドルを支払った企業など、金額がはるかに大きいケースもあります。
操作と悪用:
サイバー犯罪者は、コミュニケーションに緊急感を与えることに長けています。たとえば、電子メールで、以前の請求書に誤りがあり、その間違いを修正するには即時の電信送金が必要であると主張される場合があります。この緊急性により、特に財務部門のようなプレッシャーの大きい環境では、従業員が適切な確認を行わずに要求に急いで対応してしまうことがよくあります。
BEC の報告不足
BEC 詐欺の最も厄介な側面の 1 つは、捜査機関への報告不足です。電子メールの脅威によって数十億ドルが失われているにもかかわらず、評判の失墜を恐れたり、損失が小さすぎて調査する必要がないと考えたりして、多くの事件が報告されません。さらに、一部の企業は保険で損失を回収したり、運用コストとして吸収したりするため、事件の報告不足に拍車がかかっています。
専門家は、BEC の真の経済的影響は大幅に過小評価されていると考えています。たとえば、FBI のインターネット犯罪苦情センター (IC3) は、BEC 関連の損失に関する統計を提供していますが、これらの数字は表面をかすめただけです。推定によると、BEC に関連するデータ盗難や金融詐欺の実際の範囲は、報告されているものの 10 ~ 40 倍に上る可能性があります。
ビジネスメール詐欺の実例
最近の事例で、スコットは、強力な社内セキュリティ対策を講じていたにもかかわらず、請求書詐欺の被害に遭った 10 億ドル規模の企業の話を語りました。残念ながら、その企業はシステムを保護していましたが、ベンダーの 1 社はそうしていませんでした。
その企業の財務部門は、ベンダーから 350 万ドルの請求書に関するメールを受け取りました。数分後、同じベンダーから別のメールが届き、請求書に間違いがあったと主張し、10% 割引で新しい支払いを要求していました。買掛金チームは、支払いが正当なものであると想定して処理しました。
その企業では職務分掌が行われていたため、支払いには複数の人が署名する必要がありました。しかし、誰も銀行口座情報をチェックして、資金が正しい口座に送金されていることを確認しませんでした。その結果、お金は、ベンダーのボストンの実際の口座ではなく、アラブ首長国連邦の口座に送金されました。
詐欺が発覚したとき、お金のほとんどは、ルーマニアやナイジェリアを含むさまざまな国を経由して移動されていました。 60万ドルは回収できたものの、同社は依然として290万ドルの損失を被いました。
問題が発生する場所
ビジネスメール詐欺攻撃を防ぐには、見落とされがちな脆弱性に対処する必要があります。このケースでは、企業は強力な社内セキュリティ対策を講じていましたが、ベンダーのサイバーセキュリティの弱点を考慮していませんでした。これは、安全なメール対策を社内システムだけでなく、パートナーやベンダーにも広げることの重要性を強調しています。
さらに、同社は支払いプロセスで職務を分離していましたが、電信送金を処理する前に口座情報を確認していませんでした。これは、インシデント対応プロトコルとセキュリティ意識向上トレーニングを定期的に見直して強化し、従業員がメールの脅威を特定して対応できるように準備することの重要性を強調しています。
企業が自らを守る方法
将来の攻撃を防ぎ、BEC メールによって金融取引が乗っ取られるリスクを軽減するには、企業はメール セキュリティに対してプロアクティブで多層的なアプローチを取る必要があります。重要な対策をいくつかご紹介します。
従業員のトレーニング:
すべての従業員、特に財務部門の従業員が、フィッシング詐欺やその他のソーシャル エンジニアリングの形態を認識できるようにトレーニングを受けていることを確認します。定期的なトレーニングとフィッシングの模擬テストは、従業員が警戒を怠らないようにするのに役立ちます。
多要素認証:
会社に MFA を実装し、ベンダーに使用を推奨または要求します。この追加のセキュリティ レイヤーにより、メール アカウントへの不正アクセスを防ぐことができます。
支払いの詳細を確認する:
特に多額の金額が関わる支払い要求の真正性を確認するためのプロトコルを確立します。これには、ベンダーに電話をかけて要求を確認するなど、2 つ目の確認形式が含まれる場合があります。
銀行情報の変更を確認する:
銀行の詳細を変更する要求は疑ってかかる必要があり、支払いを行う前に独立したチャネルで確認する必要があります。
すべてのインシデントを報告する:
損失が保険でカバーされていたり、軽微に見えたりしても、すべての BEC を適切な当局に報告することが重要です。これにより、傾向を追跡し、さらなる攻撃を防ぐことができます。
結論
ビジネスメール詐欺は、あらゆる規模の企業に多大な経済的損害をもたらす、蔓延し拡大している脅威です。なりすまし、スピアフィッシング、ソーシャルエンジニアリングなどの戦術により、ハッカーは信頼、緊急性、脆弱な検証プロトコルを悪用して攻撃を実行できます。
企業はメールのセキュリティを強化し、金融取引の厳格な検証プロセスを実装し、ベンダーと協力して機密データの保護について全員が一致していることを確認する必要があります。
セキュリティ意識、テクノロジー、ベストプラクティスへの準拠を適切に組み合わせることで、企業は BEC 攻撃の被害に遭うリスクを大幅に軽減し、進化し続けるサイバー犯罪の脅威から資産を保護することができます。