BEC詐欺の新傾向と先手を打つ方法

BEC（Business Email Compromise）詐欺は、組織にとって根強く、ますます巧妙な脅威となっています。このような詐欺が進化を続ける中、企業はサイバー犯罪者の一歩先を行くために効果的な戦略を採用し、適応することが非常に重要になっています。

BEC詐欺の最新動向について読み進め、企業がこのような悪質な詐欺の被害者にならないよう自らを守る方法について貴重な洞察を得てください。

進化し続けるBEC詐欺の性質

CEO詐欺としても知られるBEC詐欺は、サイバー犯罪者が電子メールのやり取りを悪用して従業員を欺き、組織の金融資産や機密データを危険にさらす行動を取らせるというものです。核となるコンセプトは一貫していますが、サイバーセキュリティ対策の強化に伴い、これらの詐欺は進化しています。以下は、BEC詐欺に見られる新しい傾向の一部です：

• 高度なソーシャル・エンジニアリング手法 - サイバー犯罪者は、企業の従業員を操るために高度なソーシャル・エンジニアリング手法を用いるようになってきています。詐欺師は、信頼感や緊急性を煽ることで、被害者が詐欺メールと正規のメールを見分けることを困難にしています。

• VEC（Vendor Email Compromise） -詐欺師は、社内の従業員だけをターゲットにするのではなく、社外のベンダーやサプライヤーをターゲットにすることが多くなっています。ベンダーの電子メール・アカウントに侵入し、請求書や支払明細を操作することで、多額の金銭的損失を被る可能性があります。

• ディープフェイクボイス詐欺 -一部のサイバー犯罪者は、ディープフェイク技術を取り入れ、高位幹部の声を説得力のある音声に加工しています。これにより、詐欺の手口に信憑性が増し、発見がさらに難しくなります。

• 認証情報の取得 -フィッシングメールは、ログイン認証情報を取得するための攻撃者の標準的なツールとなっています。これらの認証情報を入手すると、メールアカウントへの不正アクセスが可能になり、詐欺師が詐欺を実行できるようになります。

• なりすましメール -BEC詐欺師は、正規のメールドメインを模倣するテクニックを磨いてきました。信頼できる送信元から発信されているかのように見せかけるために、ドメイン偽装などの手口を使うこともあります。

BEC詐欺師に先手を打つ

BEC詐欺の進化を考えると、企業は自らを守るためにサイバーセキュリティ対策を積極的に実施することを検討すべきです。以下は、企業が BEC 詐欺師の一歩先を行くための戦略です：

• 従業員トレーニング -BEC詐欺について定期的に従業員を教育し、兆候を認識するよう指導する。従業員には、機密情報や金融取引に関する要求、特に電子メールが通常と異なる場合や緊急性を要するような場合には、その内容を確認するよう促しましょう。

• 多要素認証（MFA） -電子メールアカウントやその他の重要なシステムでMFAの使用を強制する。この追加的なセキュリティ・レイヤーは、攻撃者が不正にアクセスすることを著しく困難にする。

• メール認証プロトコル -SPF、DKIM、DMARCなどのメール認証プロトコルを導入する。これらのプロトコルは、電子メールのなりすましを防止するのに役立ち、詐欺師が信頼できる情報源になりすますことを困難にします。

• 支払いの確認 - 支払い要求が大金や銀行口座情報の変更を伴う場合は特に、常に二次的な通信チャネルを通じて確認する。電話や直接会って確認することで、不正取引を防ぐことができる。

• インシデント対応計画 -BEC詐欺が発生した場合に取るべき手順をまとめた幅広いインシデント対応計画を策定する。IT担当者だけでなく、法務部や財務部も巻き込むことを検討する。

• 報告の奨励 -組織内に報告の文化を醸成する。不審な電子メールや行動を速やかに報告するようスタッフに奨励する。早期に報告することで、潜在的な侵害を防ぐことができる。

• 定期的な監査 -定期的なセキュリティ監査と侵入テストを実施し、システムの脆弱性を特定する。BEC詐欺の被害に遭うリスクを最小限に抑えるため、弱点に迅速に対処するよう最善を尽くす。

結論

BEC詐欺は常に進化しており、世界中の組織に大きな脅威をもたらしています。

しかし、警戒を怠らず、従業員を教育し、より優れたサイバーセキュリティ対策を実施することで、企業はこのような詐欺の一歩先を行き、機密情報や金融資産を守ることができるかもしれません。

サイバーセキュリティの領域では、サイバー犯罪者の絶えず変化する手口に対して、予防が最善の防御であることに変わりはない。