DIME MAGAZINE
巧妙化・増加を続けるビジネスメール詐欺
ビジネスメール詐欺は急速に進化している。 数年前までは、CEOや重役からのものを装い、部下にメールで「ギフトカード」を購入するよう依頼する「ギフトカード詐欺」について注意喚起を行なっていた。ハッカーはそのギフトカードを個人的な利益のための使用を試みている。
例えば、ターゲットとなるCEOのメールアドレスが「CEO@company.com」であるのに対し、「CEO@gmail.com」というなりすまされたGmailアドレスから送信されていた。また、ドメインやパートナー企業にもなりすましておりこれはBEC1.0攻撃と同社が呼ぶものだ。
次に、「BEC2.0」では、侵害されたアカウントからの攻撃が出現した。これは、内部ユーザーや財務部門などの社内ユーザーが侵害された場合や、パートナー企業のユーザーが侵害された場合もある。
これらの攻撃はさらに巧妙で、合法的なアドレスから来るため、注意が必要だ。しかし、偽のOffice 365ログインページへのリンクやNLPが検出できるような不自然な言葉が含まれていることがある。
そして、今日BEC 3.0が登場し、実在するサービスを悪用した攻撃が確認されている。合法的なサービスから文言が届くため、NLPはここでは無力となる。
また、ユーザーはDropboxなどの正規サイトへ誘導されるため、URLのスキャンも効果的ではない。
そのため、これらの攻撃はセキュリティサービスとエンドユーザーの双方にとって特定および阻止が非常に難しいものとなっている。
被害を防ぐには、従業員にBEC3.0のような事例を知らせ、教育することも有効だ。まずはエンドユーザー自身が「この文書を送ってきた人を知っているか」そして、「Dropbox文書にOneDriveのページが含まれていることは合理的なのか」と疑念を持てるよう、正しい知識を伝えることが大切になってくる。
新たなBEC攻撃から保護するための対策と推奨事項
・フィッシング攻撃に関連する数多くの指標を分析・特定できる能力を持つAI駆動型テクノロジーを採用し、複雑な攻撃に対する積極的な防御を実施する
・ドキュメントとファイルに対するスキャン機能を備えた包括的なセキュリティソリューションを採用する
・セキュリティ強化のための徹底的なスキャンとエミュレートを実行できる堅牢なURL防御システムを実装する
関連情報
https://www.avanan.com/blog/stealing-credentials-through-legitimate-dropbox-page
構成/清水眞希
最新号
