増加するBusiness Email Compromise

ビジネスメールに乗じた詐欺行為が増加している。「CEO詐欺」として知られるビジネスメール上でのセキュリティ侵害である。ビジネスメールなどを利用したセキュリティ侵害は、総称してBEC(Business Email Compromise)攻撃と呼ばれている。IBMの2022年情報漏洩費用レポートによれば、BECはフィッシング攻撃と並んで1件当たりの漏洩費用が最も高額なものになっている。こうした攻撃が増加しているのは、SMS、メッセージングアプリ、ソーシャルメディア、スラックなどのコラボレーション・プラットフォームといった通信手段の多様化が進んでいて、ハッカーがこれらをディープフェイクなどと組み合わせて、より巧妙に攻撃を仕掛けるようになってきているからである。

多様なバリエーションを想定した対策

こうしたハイブリッド攻撃に向けて準備するためには、次のような新しい手口での傾向を押さえておくことが必要となる。

第1は、攻撃にはたくさんのバリエーションがあることである。従来はアカウントの奪取と役員へのなりすましが代表的な攻撃であるとされていたが、IT担当者、サードパーティの請負業者、顧客のアカウントを利用することもありえ、仕事用のアカウントではなく、プライベートなアカウントを狙うかもしれない。電子送金だけでなくギフトカードへの支払いを仕掛けるかもしれない。金銭ではなく、知的所有権や個人情報を盗もうとするかもしれない。多様な詐欺に注意しなければならないことになる。