最後にグローバルセキュリティラウンドアップから、一例を紹介しよう。
企業を狙った攻撃の1つであるBEC(Business Email Compromise、ビジネスメール詐欺)が、世界で急増している。これは、勤務先の会社幹部や取引先などを装ったメールで企業の従業員を騙し、不正送金させる攻撃だ。
この種の攻撃では、被害額が非常に巨額になることが特徴。米連邦捜査局(U.S. Federal Bureau of Investigation、FBI)の報告によると、2015年1月から2016年6月までに世界で2万2000件の被害が発生し、被害総額は30億米ドル(約3024億円)にのぼるという。
BECでは、巧みなソーシャルエンジニアリングの手法や標的への事前調査を組み合わせて攻撃が行われる。多くの場合、企業の最高経営責任者(CEO)や統括部長、最高財務責任者(CFO)、財務理事など、財務権限を有する職位が悪用される。図6は、攻撃者により、なりすましに使用された職位のランキングだ。
圧倒的に、トップレベルの経営者の職位が攻撃に利用されている。逆に、図7は攻撃対象(不正送金のメールを受け取る側)の職位のランキングだ。
攻撃対象としては、会社の財務・経理などを担当する立場の人間が狙われていることがわかる。
不正プログラムが使われないBEC、どう防ぐ?
そもそも、BECでは不正プログラムが使用されないため、メールの不正なリンクや添付ファイルを検知する従来型のメール対策では、防ぐことは非常に困難だ。使われるソーシャルエンジニアリングの手法は非常にシンプルでありながら、権威に従う人の心理を巧妙に突くことで、攻撃を成功させている。そこで、
BECで使用されるメッセージを効果的にブロックするため、ソーシャルエンジニアリングの手法を検知できるメール対策
社員のメールボックスに届くまえに脅威を検知するセキュリティ対策と社員に対するセキュリティ教育の組み合わせ
といった対策が考えられる。ランサムウェア同様に、日本でも同様の攻撃が行われる可能性は高い。特に、従来の対策では防ぎにくいようなBECのような攻撃には、より注意が必要であろう。