BEC(ビジネスメール詐欺)について

マクニカネットワークスの提供するセキュリティドメイン

ビジネスメール詐欺は、Eメールを介した企業に対する詐欺行為を指します。攻撃者からメールが直接送信されることもあれば、事前にサプライチェーン企業を侵害し、メールを覗き見られ、タイミングを見計らいサプライチェーン企業になりすます形でメールが送信されるケースもあります。

この攻撃の被害は、海外・国内企業問わず日々報告されています。また、FBIによって報告された2019年の被害額はおよそ1900億円にまでのぼり、現在、認識すべき脅威の一つと考えられます。 以下は、FBI IC3 が報告した被害金額の推移を表しています。

また、この攻撃は基本的にソーシャルエンジニアリングと呼ばれる騙しのテクニックで成り立っており、従来の悪性なポイント(添付ファイル、URLなど)を発見するというアプローチでは被害を防ぐのが難しい点も防御側として認識する必要があるポイントとなります。

セキュリティ製品では発見が困難

BECの分類

BECについては、FBIやIPAなどによって手口の分類がされていますが、対策の違いなどを考慮し、弊社では以下の2つに分類しています。

分類

パターン1. 直接型

攻撃者が標的企業に対して詐欺行為を働くパターン。攻撃者は、自組織や関連会社(サプライチェーンなど)のエグゼクティブなどになりすまし、急ぎで秘密な要件であると連絡します。やり取りを行ってしまうと、実在する弁護士などを詐称した第3者が介入するケースも存在します。

直接型
パターン2. 間接型/パートナー侵害型

攻撃者は、企業が利用している業務アプリケーション(Office365など)に見せかけて、フィッシングによる資格情報の窃取、公開されているメールサービスなどに対するブルートフォース攻撃、またはマルウェアを用いた侵害を行い第一標的のメール基盤に侵入します。その後、第一標的からその顧客へ請求書が送られたタイミングを見計らい第二標的に対して、様々な理由による請求書の差し替えを伝え、不正送金口座に対して振り込みを依頼します。間接型は、こういった攻撃戦略が背景にあるため、第一標的は請求書を発行することが多い、ベンダー企業となることが多いと言われています。

間接型/パートナー侵害型

BECにおけるキルチェーン

以下は、パターン2. の間接型の場合のキルチェーン(攻撃者のステップ)を表したものです。 パターン1. の場合、①、④、⑤のステップが実行されます。

Property ①偵察活動 ②足がかりの
構築
③メール
ボックス偵察
④スピア
フィッシング
⑤目的達成
第一標的

オープンソースから標的の情報を収集

  • 人物の情報
  • 利用アプリケーションの情報

様々な方法で標的組織のメール閲覧を継続的に行えるようにする

  • 資格情報を盗むフィッシング攻撃
  • マルウェア攻撃
  • メール基盤へのブルートフォース攻撃

第二標的の選定、攻撃機会を伺う

  • メールボックスを直接閲覧
  • メール転送ルールによる閲覧
  • マルウェア経由でのメールデータ閲覧
N/A N/A
第二標的 N/A N/A N/A 攻撃者もしくは第一標的のメール基盤からフィッシングメールを送付 指定の口座に振り込むように説得

スピアフィッシングにおける手法

上述の④スピアフィッシングのフェーズでは、3種類の攻撃手法が考えられます。 それぞれに攻撃者のデメリットも存在しています。

手法

例)contact@example.comドメインを持つ企業が侵害されていた場合

攻撃方法 送信元メールアドレス例 攻撃者のメリット 攻撃者のデメリット
①侵害したメールボックスからメールを送付 contact@example.com メールの内容以外に疑う余地がないため、標的を騙しやすい 送信履歴などの痕跡が残り、発見される可能性が高い
②メールアドレスを偽装してメールを送付 contact@example.com ①のデメリットが解消される 第一標的が送信者認証(DMARC)を設定していた場合、メールが届かない可能性が高い
③類似ドメインを作成してメールを送付 contact@example.com 自由にメールアカウントを作成でき、送付できる 受信者が、送信元が類似ドメインであることに気づく可能性がある

対策手法

BECにおける対策は、不審なメールを検出するソリューションを入れて完了となるものではありません。経理などのオペレーションやポリシーなどを含め見直す必要性もあるかもしれません。 また、なりすまされた企業、詐欺被害にあった企業間では、被害額を折半で対応したケースも存在しており、自社だけが騙されないように対策するだけでは不十分です。

上述キルチェーンをベースにし、各フェーズで対策案を記載しています。

キルチェーンにおける対策案

以下がキルチェーンベースでの対策案です。便宜上、メールサービスがSaaSで構築されていることを想定して記載していますが、オンプレミスのシステムでも同様にも適用できるものがほとんどです。

対策案

Property ①偵察活動 ②足がかりの
構築
③メール
ボックス偵察
④スピア
フィッシング
⑤目的達成
対策案 なし
  • (高度な)フィッシングメール対策
  • メールベースのマルウェア対策
  • メールを利用する従業員への脅威の教育
  • 他要素認証の徹底
  • 利用していないIMAPサービスの停止
  • SaaSへのログイン試行の監視・不審点の検出
  • 外部へのメッセージ転送設定の監視、是正
  • 送信メールのフィッシング監視
  • 高度なフィッシング対策
  • 送信者認証(DMARC)の設定(送信者側が設定する必要がある)
  • メールを利用する従業員へのBECの教育
  • 経理部門などに対するBECの手口の教育
  • 不審な口座変更が確認された場合のポリシー策定

攻撃事例

BECは国内外の企業で被害が多く報告されています。弊社では、特定の分野が狙われやすいなどの傾向はまだ確認できていません。例えば、海外の自治体の例では学校の建設費用の一部が攻撃者によって窃取されています。この時、攻撃者は建設請負業者になりすまし、攻撃を行っていました。

以下は、公表されている情報を元にまとめています。※1

被害事例

被害企業 公表時期 被害額
国内航空業 2017年12月 3.8億円
米国教会 2019年5月 180万米ドル
米国地方自治体 2019年8月 250万米ドル
米国地方自治体 2019年10月 75万米ドル
国内自動車部品(欧州小会社) 2019年9月 40億円
国内出版業(米子会社) 2019年10月 2,900万米ドル
英国NGO 2020年2月 932,000ポンド
プエルトリコ政府 2020年2月 260万米ドル
欧州投資ファンド 2020年5月 1,000万米ドル
※1 : 2020年5月現在、把握できた事例を記載しています