攻撃と脅威
ビジネスメール詐欺
別称: BEC, メールアカウント侵害 (EAC)
定義
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
ビジネスメール詐欺(BEC)は、偵察・ソーシャルエンジニアリングに加え、送信者偽装または正規アカウントの乗っ取りを組み合わせます。典型例として、CEO 詐欺、取引先請求書の振込先差し替え、給与振込の横取り、W-2 などのデータ窃取バリエーションが知られています。BEC はマルウェアをほとんど必要とせず、権威・緊急性・信頼されたメールチャネルが攻撃の梃子であるため、1 件あたりの被害額が最も大きいサイバー犯罪の一つに数えられます。対策は、DMARC reject の整合一致、メールボックスでの MFA と条件付きアクセス必須化、支払い変更の帯域外検証、経理統制、メールフロー規則の異常検知、定期的なユーザー教育の組合せです。
例
- 経理担当者が偽装された「CEO」メールで、新規取引先口座への即日送金を依頼される。
- 取引先の侵害されたメールボックスから、振込先だけ攻撃者口座に書き換えられた実在の請求書が届く。
関連用語
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。
メールスプーフィング
メールヘッダを偽造して信頼できる差出人から送られたように見せかけ、フィッシング・詐欺・マルウェア配布などに用いる手法。
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
請求書詐欺
偽造請求書や改ざんした正規請求書を送り付け、支払先を攻撃者の口座に変えさせる詐欺。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。