ビジネス電子メール侵害 (BEC) について:リスクと保護戦略

FBI のインターネット犯罪苦情センターの年次報告書によると、ビジネス電子メール侵害 (BEC) 攻撃による損失は 2025 年に 30 億ドルを超えました。この数字は、スマートで信頼性の高い BEC 保護の必要性を強調しています。

メール アカウントが 1 つ侵害されるだけで、詐欺、給与盗難、または顧客情報の盗難への扉が開く可能性があります。

中小企業は動きが速く、電子メール通信に大きく依存しているため、主な標的となります。しかし、多要素認証 (MFA) や高度なメール フィルタリングなどの重要なセキュリティ層が導入されていない企業は、攻撃者が追加の検証を行わずにアカウントにアクセスしたり、従業員になりすましたりする可能性があるため、脆弱になる可能性があります。

BEC はどのように機能しますか?

ビジネス電子メール侵害攻撃は、検出可能なマルウェアや、調査して学ぶことができる一般的な危険信号に依存しません。代わりに、BEC 詐欺は信頼を利用します。詐欺師は企業を調査し、誰が支払いや機密データを扱っているかを学習し、金銭やビジネスの機密情報を入手するために、完全に正当に見えるメッセージを送信します。

ここでは、典型的な BEC 詐欺がどのように展開されるかを詳しく見ていきます。

<オル>

調査とターゲット設定:攻撃者は、経営陣の名前、ベンダー、請求サイクル、さらには休暇スケジュールなど、企業に関する詳細を収集します。ターゲットとするチームまたは人物を決定します。

なりすまし:攻撃者は、CEO、マネージャー、またはサプライヤーになりすましてアカウントを偽装または侵害し、さらにフィッシングメールを送信して機密アカウントや金融システムにアクセスする可能性があります。フィッシングの試みは、上級指導者を狙った場合、捕鯨攻撃の形をとる可能性もあります。

緊急性を高める:メールでは、「この電信送金は今日中に送らなければなりません」や「この書類が今すぐ必要です」など、緊急性を求める言葉が使われています。

支払いまたはデータの要求:詐欺師は金銭、給与計算の変更、またはビジネス上の機密情報を要求します。

資金や情報の送信:ターゲットはリクエストが本物であると考えて応答し、資金やデータが攻撃者に直接渡されます。

BEC、フィッシング、スピア フィッシングの違いは何ですか?

フィッシングは、偽のメッセージを使用して被害者をだまして有害なリンクをクリックさせたり、資格情報を引き渡させたりする広範な詐欺です。スピア フィッシングは、特定の個人、小規模グループ、または組織に向けてパーソナライズされた攻撃を開始する、ターゲットを絞ったフィッシングのサブタイプです。 BEC 攻撃は、ビジネス詐欺に焦点を当てた、標的を絞ったスピア フィッシングです。

スピア フィッシングと同様に、BEC はフィッシング戦術を使用しますが、企業内の財務およびデータ詐欺に、より鋭く、より価値の高い焦点を当てています。しかし、信頼できるリーダー、ベンダー、幹部などの価値の高い個人が攻撃のターゲットとなるのではなく、これらの人々が BEC 攻撃でなりすまし、詐欺師がその信頼を利用して送金や機密データを要求します。

ビジネスメールの侵害は、標的を絞ったスピア フィッシングの一種です。

ビジネスメールの侵害は、標的を絞ったスピア フィッシングの一種です。

BEC 攻撃の識別子にはどのようなものがありますか?

BEC メッセージは一見すると正常に見えるように設計されていますが、詳しく調べると手がかりが見つかる可能性があります。 BEC 攻撃は高度にパーソナライズされているため、攻撃者がどのような情報を求めているか、誰になりすますかに応じて、異なるアプローチが使用されます。ただし、返信する前に批判的に考える必要があるため、注意すべき点がいくつかあります。

BEC 攻撃の一般的な識別子は次のとおりです。

• 電信送金または機密情報の緊急リクエスト
• 支払い詳細または銀行口座情報の突然の変更
• 役員からのもののように見えますが、口調や範囲が少し違うと感じられるメール
• 送信者のアドレスまたはドメイン名の微妙なスペルミス（「l」または「I」の代わりに「1」を付けるなど）
• 通常の承認手順を回避するよう上から圧力をかける
• 金融取引に関する機密保持の要求
• 深夜や週末の支払い要求など、通常とは異なるタイミング

BEC 攻撃メールの例。高圧的な言葉遣いや通信制限などの不審な要素を強調する注釈が付いています。

一般的な BEC の例

BEC 詐欺にはさまざまな形や規模がありますが、目的はすべて同じ結果です。つまり、迅速に信頼を得て、だましてお金やデータを共有させることです。しかし、これらの攻撃が実際にどのように展開されるかを確認することで、攻撃を発見して阻止することが容易になります。

BEC 詐欺の一般的な例をいくつか示します。

• CEO からの緊急のリクエスト:従業員が CEO からと思われる電子メールを受け取り、機密取引のための即時の電信送金またはギフトカードの購入を求める
• 給与更新詐欺:人事部は従業員から、口座振替の詳細を簡単に変更するよう求めるメッセージを受け取りました。新しい銀行口座は詐欺師のものです。
• 中間者攻撃:中間者攻撃では、ハッカーが二者間の電子メールの会話を密かに傍受し、適切なタイミングで侵入して支払いの詳細を変更したり、資金をリダイレクトしたりする
• ベンダー請求書詐欺:犯罪者が信頼できるサプライヤーを装い、最新の支払い指示を送信します。次回の請求書の支払いは攻撃者に直接支払われます。
• AI を利用したなりすまし:現在、一部の攻撃者は AI とディープフェイクを使用して音声や文体を模倣しています。偽のボイスメールや説得力のあるメールは、詐欺が驚くほど現実的であるように感じさせる可能性があります。

実際の BEC 攻撃

2024 年初頭、マイクロソフトは、国家の脅威アクターが上級幹部、サイバーセキュリティ、法務チームのメンバーを含む少数の従業員の電子メール アカウントにアクセスしたことを明らかにしました。同社はこの活動を検出し、攻撃者のアクセスを削除し、法執行機関や規制当局と協力し始めました。

このインシデントは運用に重大な影響を与えませんでしたが、電子メール アカウントの侵害が最もセキュリティが成熟した組織にさえ影響を与える可能性があることを浮き彫りにしました。

BEC が危険な理由

BEC は、組織に最も損害を与える場所、つまり資金と評判を攻撃します。単一のインシデントが中小企業に損失をもたらし、給与計算が混乱し、ベンダーへの支払いが遅れ、成長が失速する可能性があります。

また、従業員データや顧客情報が盗まれると、長期にわたる悪影響が生じる可能性があります。法的請求、罰金、違反通知費用、パートナーとの関係の緊張に直面する可能性があります。それに加えて、チームの時間はビジネスを運営する代わりにダメージコントロールに費やされてしまいます。お客様は詳細を再度共有する前によく考えてください。

そのため、支払い確認ワークフロー、安全な電子メール フィルタリング、定期的な従業員トレーニングなど、強力な BEC 防止策を講じることが重要です。これらの実践により、従業員は不審なアクティビティを早期に発見し、1 通の欺瞞メールが本格的な危機に発展する前にサイバー犯罪を防ぐことができます。

BEC 攻撃を防ぐ方法

BEC を防ぐには、中小企業向けの多層メール セキュリティが必要です。つまり、安全なメール ツール、アクセス制御、従業員トレーニングがすべて連携して機能することを意味します。明確な内部プロセスは、チームが支払いやデータ変更などの機密リクエストを不確実性ではなく自信を持って処理するのにも役立ちます。

中小企業における BEC 攻撃を阻止するには:

• 厳格な支払い検証プロセスを作成する:電信送金とベンダー バンキングの変更には二重の承認を必要とします。メールに記載されている電話番号ではなく、既知の電話番号を使用してリクエストを確認してください。
• 多要素認証（MFA）を使用する:すべてのアカウントで MFA を使用すると、パスワードが盗まれた場合でもアカウント乗っ取りの試みをブロックできます。
• 高度なメール フィルタリングとドメイン保護を導入する:なりすましドメイン、類似アドレス、異常な送信動作を検出するツールを使用します。
• 継続的なフィッシング意識向上トレーニングを提供する:定期的なシミュレーションにより、現実世界のフィッシング防御が強化され、緊急のリクエストに対する衝動的な反応が軽減されます。
• 異常なログイン アクティビティを監視する:誰かが新しいデバイス、見慣れない場所、または 2 つの離れた場所から短期間にログインしたときにアラートを送信するセキュリティ ツールを使用します。
• 機密通信を暗号化する:メールを暗号化すると、給与データ、契約書、財務記録を傍受から保護できます。
• 財務アクセスを制限する:承認されたスタッフのみが支払いを承認したり、銀行口座の詳細を変更したりする必要があります。プロセスに関わる人手が減るということは、人的ミスや不正がすり抜ける可能性が減るということです。
• セキュリティ スタックを定期的に確認します。安全なメール ゲートウェイ、エンドポイント保護、バックアップ、モニタリングなど、中小企業の IT の必需品が最新であり、適切に構成されていることを確認します。

信頼性の高いラップトップやサイバーセキュリティ ツールなど、中小企業の IT 必需品チェックリスト。

BEC 攻撃が疑われる場合の対処

BEC 攻撃の疑いがある場合は、直ちに取引を一時停止し、信頼できるチャネルを通じてリクエストを確認し、IT チームまたはセキュリティ チームに警告し、すでに送金している場合は銀行に連絡してください。早期に行動することで、サイバーセキュリティ全体の対応を強化しながら、お金、データ、評判を守ることができます。

BEC 攻撃が疑われる場合の対処方法の詳細は次のとおりです。

• 関連するすべてのアクティビティを直ちに停止します。支払いを一時停止し、保留中の送金を凍結し、状況が解決されるまでデータが共有されないようにする
• 信頼できる方法を使用してリクエストを確認します。既知の電話番号または内部システムを通じて役員、従業員、またはベンダーに連絡します。不審なメールには直接返信しないでください。
• リーダーと IT チームまたはセキュリティ チームに警告する:早期の内部報告は、問題を封じ込め、アカウント侵害を確認し、会社全体での同様の試みを防ぐのに役立ちます。
• 銀行の不正行為部門に連絡する:迅速な報告により、損失資金の停止または回収の可能性が高まり、ビジネスを保護できる可能性が高くなります。
• 影響を受けるアカウントを保護する:パスワードをリセットし、MFA を有効にし、異常なアクティビティがないかログイン履歴を確認します。
• システムとメール ログをスキャンする:自動転送ルール（メールのコピーを外部アドレスに密かに転送する設定）に加え、不正アクセスや、攻撃者がまだネットワーク内にいる可能性を示すその他の兆候を探します。
• すべてを文書化する:メール、タイムスタンプ、トランザクションの詳細を保存します。これにより、必要に応じて調査や保険請求がサポートされます。

ビジネス電子メール侵害攻撃は、欺瞞に基づいて構築されています。ノートン スモール ビジネスは、成長するチーム向けに設計された強力で管理しやすい保護機能により、脅威との戦いを支援します。ノートンは、デバイスのセキュリティから財務監視に至るまで、アカウント乗っ取りや不審な財務活動のリスクを軽減します。

ノートンは、シンプルなセットアップと一元管理により、チームの速度を低下させることなくスマートな保護を追加します。つまり、弱点が減り、防御が強化され、ビジネスで送受信されるすべてのメールの信頼性が高まります。

よくある質問

最も一般的な BEC の例は何ですか?

BEC の最も一般的な例の 1 つは CEO 詐欺です。従業員は、電信送金またはギフトカードの購入を求める会社の CEO からと思われる緊急メールを受け取りました。迅速に行動しなければならないというプレッシャーがあるからこそ、行動が効果的になるのです。

BEC はサイバーセキュリティにどのような影響を与えますか?

BEC は、電子メール制御、ID 保護、内部プロセスのギャップを明らかにします。攻撃が成功すると、経済的損失、データ侵害、信頼の低下が生じる可能性があります。また、強力な監視とアクセス制御がサイバーセキュリティ計画に不可欠な部分である理由もわかります。

私の企業では BEC 検出にどのようなツールを使用できますか?

安全な電子メール ゲートウェイ、MFA、ドメイン監視、および動作ベースの脅威検出ツールを使用できます。ノートン スモール ビジネスのようなソリューションは、デバイスやアカウント全体の可視性と保護を強化するのにも役立ちます。言うまでもなく、従業員のトレーニングと明確な支払い確認プロセスは、不審なアクティビティを早期に発見する上で重要な役割を果たします。

ビジネスメールの侵害に使用される別の名前は何ですか?

ビジネス電子メールの侵害は、電子メール アカウント侵害 (EAC) とも呼ばれ、サイバー犯罪の一種です。この傘下には、CEO 詐欺、ベンダー請求書詐欺、給与転用詐欺などの特定の詐欺タイプが含まれており、それぞれが異なる角度からユーザーをだましてお金やデータを送金させます。

編集者注: 私たちの記事は教育的な情報を提供し、サイバー セーフティの重要なトピックについての意識を高めるために書かれています。ノートンの製品とサービスは、私たちが記事にしているあらゆる種類の脅威、詐欺、犯罪から保護できるわけではありません。 記事の調査、執筆、レビューの方法の詳細については、編集ポリシーをご覧ください。