Microsoft から、ビジネスメール詐欺（BEC： Business Email Compromise）をめぐるサイバー犯罪活動の急増に焦点を当てた Cyber Signals の第4版がリリースされました。
Cyber Signals: Shifting tactics show surge in business email compromise | Microsoft Security Blog

 

Microsoft は、2019年から2022年までにビジネスメールを標的とするサービスとしてのサイバー犯罪（CaaS： Cybercrime As a Service）が 38% 増加したことを確認しています。

BEC 攻撃が成功すると、組織は年間数億ドルの費用が掛かります。
2022年、FBI の Recovery Asset Team（RAT）は 5億9,000万ドルを超える潜在的な損失を伴う国内取引に関する 2,838 件の BEC の苦情について金融詐欺キルチェーン（FFKC： Financial Fraud Kill Chain）を開始しました。

2022年4月から2023年4月までの間、Microsoft Threat Intelligence は  3,500万件（1日平均 156,000件）の BEC 試行を検出、調査しました。

 

一般的な BEC 戦術

脅威アクターの BEC 試行は、電話、テキストメッセージ、メール、ソーシャルメディアなど様々な形をとり、認証要求のスプーフィングや個人、企業のなりすましも一般的です。

BEC オペレーターは、パッチ未適用のデバイス脆弱性の悪用でなく、日々のメールやメッセージを悪用して被害者に財務情報を提供させたり、犯罪者の不正送金アカウントに無意識に送金させるなど、直接的な行動をとろうとします。

破壊的な恐喝メッセージを特徴とするランサムウェア攻撃とは異なり、BEC オペレーターは不自然な期限と緊急性を使用して受信者に拍車をかけるため、その成功率を向上させるツールに焦点を当てます。

Microsoft は、BEC用のテンプレート、ホスティング、自動サービスなどを販売し、産業規模の悪意あるメールキャンペーン作成に使われる BulletProftLink などのプラットフォームを観察しています。

BulletProftLink の分散型ゲートウェイ設計には、フィッシングサイトや BECサイトをホストするブロックチェーンノードが含まれており、進化、成長するパブリックブロックチェーンの中で分散するそれらを識別し、削除することがより複雑で難しくなっています。

企業が BEC 攻撃を未然に防ぎリスク軽減するためには、IT、コンプライアンス、サイバーリスク担当、経営幹部やリーダー、財務担当、人事など、企業や従業員情報にアクセスできる人と部門横断的な方法で対処する必要があります。

 

BEC と戦うための推奨

• 安全なメールソリューションを使用する
  今日のメール用クラウドプラットフォームは、機械学習や AI 機能を使用して防御を強化し、高度なフィッシング保護や転送検出、継続的で自動的なソフトウェア更新とセキュリティポリシーの一元管理
• 横方向の移動を禁止するための ID 保護
  ID 保護は BEC 対策として重要。
  ゼロトラストと自動化された ID ガバナンスでアプリとデータへのアクセスを制御。
• 安全な支払いプラットフォームを採用
  請求書のメール送信から、支払いを認証するために特化して設計されたシステムに切り替える検討をする
• 警告サインに気付くようトレーニング
  ドメインと電子メールアドレスの不一致、BEC 攻撃によるリスクとコストなど、詐欺や悪意ある電子メールに気付くよう、従業員を継続的に教育