btzgrp
  • IT関連の仕事を探す - TechRepublic
Headlines

ビジネスメール詐欺が大企業のCFOを騙した経緯

05 mins
ビジネスメール詐欺が大企業のCFOを騙した経緯

出版

ランス・ホイットニーの画像

Avanan が分析した詐欺では、被害者は CFO を装い、保険会社に支払いを指示するメールを受信しました。

フィッシングキットに関するKaspersyの情報。
画像: iStock/jauhari1

ビジネスメール詐欺攻撃は、標準的なフィッシング詐欺スキームを使用し、標的の組織に関連する、信頼されている、多くの場合は高位の人物になりすますことで、そのスキームに権威を与えることによって機能します。

電子メールセキュリティプロバイダーのAvananは、8月25日木曜日に公開したレポートの中で、大手スポーツ企業の最高財務責任者(CFO)に​​なりすまして金銭を盗もうとしたある詐欺行為について説明しています。

CFOからの支払い依頼を装ったフィッシング詐欺

この攻撃では、フィッシングメールはCFOを装い、保険会社への送金依頼をしていました。受信者にACH電子送金による支払いを求めるメールには、転送されたメッセージと、実在する保険会社West Bend Mutualからの請求書を装ったPDFファイルが添付されていました。転送されたメッセージの送信元アドレスにはWest Bend Mutualが記載されていましたが、実際の返信アドレスは保険会社の実際のアドレスとは異なっていました。

何かが怪しいというヒントは、メール上部に表示されたバナーから得られました。「このメールは表示されている送信者からのものではない可能性があります」という警告です(図A)。このバナーは、組織のOffice 365インストールによって追加されたもので、ユーザーに詐欺の可能性を警告する便利な機能です。

図A

メールの上部に赤いバナーの警告が表示されたフィッシングメールのスクリーンショット
画像: アヴァナン

アヴァナンが確認した2つ目のフィッシング攻撃では、攻撃者は同じくウェストベンド・ミューチュアル保険会社のなりすましメールを使用していました。このメールの下部にある「Get in contact(お問い合わせ)」のメールアドレスは、Silver Liningのスペルが「Silver Linning(シルバー・ライニング)」と誤記されていました。しかし、上部にはメールアドレスが一致していないことを受信者に警告するバナーが表示されていませんでした。

参照: 認証情報フィッシング攻撃が多くの業界や組織に及ぼす脅威 (TechRepublic)

最初に引用したメールは、バナーがユーザーに何か問題があることを警告したため、成功しませんでした。しかし、ビジネスメール詐欺攻撃は、いくつかの異なる理由で成功する場合がよくあります。

これらの悪意のあるメールは、標的企業の幹部を装うことで、上司や管理者に気に入られたいという従業員の欲求につけ込みます。このようなタイプのメールをブロックするのは困難です。

外部メールゲートウェイは、このようなメッセージの文脈を分析できません。CFOなどの上級役員からのメールであることしか認識できず、これらのメッセージを通過させてしまいます。メールアドレスの不一致をユーザーに警告するバナーは、重要な防御策でした。しかし、このようなバナーが多すぎると、ユーザーが単に無視してしまう可能性があります。

アバノンは従業員のサイバーセキュリティ教育が重要だと語る

外部の電子メール ゲートウェイや警告バナーに頼るのではなく、従業員がメッセージが正当であるかどうか判断しなくても済むように、この種の攻撃を積極的にブロックすることが最善策です。

しかし、偽のフィッシングメールが必ず防御をすり抜けてしまうため、従業員教育は依然として重要です。そのため、アヴァナンはいくつかのヒントを提供しています。

  • メール内の返信先アドレスが一致しているかどうかを常に確認するようにユーザーに通知します。
  • 電子メールの正当性について不明な点がある場合は、元の送信者に確認するように従業員に指示します。
  • 電子メールで送信された請求書に対応する前に、財務グループの担当者に連絡するようユーザーに勧めます。
  • 従業員に、メール全体を読んで矛盾やスペルミス、その他のエラーがないか確認するよう伝えます。
  • リンクや添付ファイルが含まれるすべてのメッセージを疑うようにユーザーに伝えます。
  • 個人情報はリアルタイムで直接共有するようユーザーに促します。
  • ソフトウェアやセキュリティ製品で警告バナーを使用する場合は、ユーザーに押し付けすぎないように注意してください。重要な場面でのみ警告バナーを表示することで、受信者はより真剣に受け止めるようになります。
  • 変更があった場合に通知するようにアカウントを設定します。
  • すべてのアカウント、特に電子メールに対して多要素認証を設定します。
  • 組織内のパスワード マネージャーを使用して、ユーザーのパスワードを作成し、保存します。
記事をシェア

こちらもご覧ください

  • サイバーセキュリティのプロになる方法:チートシート
  • 2022年版 エンタープライズ向けパスワードマネージャーベスト8
  • EDRソフトウェア:ビジネスに最適なEDRツールの選択
  • NIST サイバーセキュリティ フレームワーク: 専門家向けチートシート (無料 PDF)
  • ダークウェブ監視サービスでサイバー犯罪からビジネスを守りましょう
  • サイバーセキュリティとサイバー戦争:さらに必読の記事
ランス・ホイットニーの画像

ランス・ホイットニー

ランス・ホイットニーは、テクノロジーライター兼トレーナーであり、元ITプロフェッショナルです。Time、CNET、PCMag、その他複数の出版物に寄稿しています。WindowsとLinkedInに関する2冊のテクノロジー関連書籍を執筆しています。

Tagged:

Related News