Best Practices to Thwart Business Email Compromise (BEC) Attacks
2021/07/29 TheHackerNews — ビジネス・メール詐欺 (BEC : Business Email Compromise) とは、すべてのタイプのメール攻撃を指すが、それらがペイロードを持つことはない。BEC には様々な種類があるが、攻撃者が BEC 技術を利用して組織に侵入するメカニズムは、基本的に「なりすまし」と「アカウント乗っ取り」の2つに分けられる。最近の調査では、71% の組織が、過去1年間に BEC 攻撃を受けたと回答している。43% の組織が過去12ヶ月間にセキュリティ・インシデントを経験し、また、インシデントの 50% 以上を BEC/フィッシング攻撃が占めていると、回答する企業は 35% に達した。
FBI Internet Crime Complaint Center (IC3) の報告によると、2020年のサイバー攻撃の中では BEC 詐欺による被害額が最も大きく、19,369件の苦情が寄せられ、調整後の被害額は約 $1.8 billion に達した。最近の BEC 攻撃としては、TV 番組 Shark Tank でホストを務める Barbara Corcoran を狙ったなりすまし攻撃での $380,000 の損失、プエルトリコ政府を狙った攻撃での $4 million の損失などがある。また、日本のメディア大手である日本経済新聞社を狙った攻撃では、詐欺メールの指示に騙されて、$29 million の送金が行われてしまった。BEC 攻撃を阻止するために、組織はゴールデン・トライアングル (Process / People / Technology の連携) を重視する必要がある。ここでは、BEC攻撃を軽減するために、企業が実践すべきベスト・プラクティスを紹介する。
Process
すべての組織の財務部門には、支出承認のポリシーがある。 このポリシーは、会社の資産を保護するための、支出/支払に関する明確な承認レベルを確立する。すべての支出/支払いは、予算の一部として承認される必要があるが、その金額に応じて各支払が適切な担当者により承認されることを保証するための手立てが、このポリシーにより財務部門に提示される。例外的に、会社の CEO や社長が支払いを要求する際に、無制限の権限を与えられるようなケースもある。サイバー犯罪者たちは、このことを理解しているため、経営層の電子メール・アカウントを偽装する。
現在のサイバーセキュリティの状況を考えると、財務部門はポリシーを再検討し、より厳格なプロセスを導入する必要がある。具体的には、小切手や電信送金などの手段で、大規模な支出を行う際には、支払い要求が正当なものであることを確認するため、複数の承認を必要とすることが考えられる。また、電子的な承認の、取得方法を規定することもできる。たとえば、CEO から電子メールで財務担当者が電信送金の依頼を受けた場合、その依頼を処理する管理者は、ポリシーに従って追加の承認を得るようなケースが考えられる。その場合には、事前に承認された配布リストに対して、電子メールを送信することで電子承認を得ることや、電話で確認を取ることなどが含まれる。
支出額ついては、署名する担当者と、共同で署名する担当者の権限に応じて決定される。つまり、どれだけの損失を許容できるかという、組織のリスク許容度に基づいて決定される。IT チームとして財務部門に説明すべきことは、どのようにして、BEC などの成りすまし攻撃が起こるかという点だ。最近の BEC 攻撃の実例を紹介し、攻撃を阻止するための新たな方式についてブレーン・ストーミングすべきだ。これらの例をもとに、財務部門は、BEC 攻撃やサイバー・セキュリティの問題点を念頭に置き、現行のポリシーを再検討する必要がある。つまり、会長や社長や取締役が、主要な支出における唯一の署名者ではないということを意味するかもしれない。ただし、その限度額の決定は、会社としてリスク要求に基づいて行われる。支出承認ポリシーにおいてプロセスが確立された後は、例外なく、そのポリシーに従うよう、従業員を教育する必要がある。
People
すべての従業員は、サイバー・セキュリティ攻撃を理解するために、また、義務としての行動と禁止される行動を確認すために、トレーニングを受ける必要がある。また、サイバー・セキュリティの状況は極めて急速に変化しているため、このトレーニングは継続的に実施される必要がある。財務部門の担当者や、資金分配の権限を持つ担当者は、BEC などの攻撃についてトレーニングを受ける必要がある。このような攻撃の多くは、上級役員からの電子メールの形を装っており、緊急の依頼であることが多く、時には営業終了の数分前に依頼が届き、即時の支払いを要求することもあると強調すべきだ。このようなトレーニングに加えて、すべての従業員が支出承認ポリシーに従うことを義務付ければ、企業は BEC 攻撃を阻止できるはずだ。
このような損失をカバーするために、数多くの企業が保険に加入している。しかし、どのような組織に対しても、また、どのようなケースに対しても、常に保険が支払われるとは限らない。例を挙げると、トレーディング会社である Virtu Financial Inc. は、BEC 詐欺により $6.9 million の損失を出したが、保険会社である Axis Insurance は、「Virtu のコンピューター・システムへの不正アクセスは、損失の直接の原因ではなく、Virtu の従業員による別個の介入行為により引き起こされた。その授業員が、送金を要求する成りすましメールを真実だと信じことで、電信送金が発行された」と主張して、支払いを拒否している。Virtu Financial Inc. は、サイバー攻撃に対する補償の提供を拒否したことは契約違反だとして、Axis Insurance を提訴している。
Technology
次世代における高度なサイバー・セキュリティ技術は、あらゆる電子メールの脅威が、エンドユーザーに到達する前にブロックできる。ここでの脅威には、スパムおよび、フィッシング、BEC、follow-on、APT (Advanced Persistent Threats)、脆弱性を攻撃するゼロデイなどが含まれる。このようなタイプのソリューションとしては、次のようなものが存在する。
・アンチスパム・エンジン:対策と反覆をベースとするフィルターで悪意の通信をブロック。
・アンチフィッシング・エンジン:悪意の URL を検出し、あらゆるタイプのフィッシング攻撃、エンドユーザに届く前に防ぐ。
・アンチスプーフィング・エンジン:成りすましや、類似ドメイン、表示名偽装などの、ペイロードを伴わない攻撃を防ぐ。
・アンチ・エバージェンス技術:再帰的な処理によりコンテンツを小さな単位 (ファイルや URL) に展開し、それらを複数のエンジン動的にチェックすることで、隠れている悪意のコンテンツを数秒で検出する。
・機械知能 (MI)/自然言語処理 (NLP):コンテンツや文脈の異常をチェックする。たとえば、異常な文体や、悪意の活動を示すキーワード、奇妙な IP アドレス、地理的な位置、タイミングなどを特定する。
・検知能力:高度な脅威やゼロデイ攻撃を防ぐ。
・アドホック・メール分析:エンドユーザが無謀な行動をとる前に、疑わしいメールを特定する。
・エンドユーザ用コンテキスト・ヘルプ:ポリシーやルールをベースとした、カスタマイズにも対応するフラグを電子メールに立て、エンドユーザに追加のコンテキスト情報を提供し、セキュリティ意識を高める。
これらのこのソリューションにより、成りすましやアカウント乗取りを検出し、阻止できるはずだ。具体的には、サイバー犯罪者による電子メール・アカウントへのアクセスと、ネットワークへの侵入をブロックするものとなる。
最終的な考察
企業や MSP でAcronis Cyber Protection が採用される背景には、こうした攻撃の習熟度がある。機械知能 (MI) および、自動化、統合を、独自に組み合わせたオールインワン・サイバー・プロテクション・ソリューションは、データ損失の形態に関わらず、ビジネス・リスクを低減し、生産性を向上させるよう設計されている。
最近、よく聞くBEC (Business Email Compromise) です。日本語ではビジネス・メール詐欺となり、読み方はベックで良いようです。たしかに、このBEC 攻撃を阻止するためには、Process / People / Technology が必要ですが、この並びの順に重要度も、変わってくるように思えます。翻訳作業の最後で、Acronis のスポンサード記事だと気づきましたが、充実した内容の良記事ですね。関連するコンテンツとしては、「電子メール疲れがサイバー犯罪のドアを開くという悲しい現実」や、「フィッシングに遭った夫婦が犯人を追跡:莫大な仮想通貨の在処を見つけたが」などがあります。カテゴリ Scammer も、よろしければど〜ぞ。
IoT OT Security News 