ビジネスメール詐欺では、通常、攻撃者はメールとソーシャルエンジニアリングの手法を用いて、企業内で資金力のある人物に、攻撃者が所有する銀行口座に送金させます。この種の詐欺は、合法的な資金移動を行う企業や個人を標的とした、巧妙な手口です。
FBIのインターネット犯罪苦情センター、法執行機関、金融機関への提出書類による統計によると、BECだけで2016年から2021年の間に430億ドルを超える損失が発生しています。
電子メールの特性に基づくBECの検出とブロック
BEC攻撃者は様々なソーシャルエンジニアリング手法を用いますが、ほとんどの場合、標的と連絡を取っている正当な人物からのメールを装います。そのために、なりすましの相手が登録するメールアドレスは、正当なメールアドレスに近いものを使用することが多いです。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
したがって、この状況をブロック目的で利用する一つの方法は、信頼できる送信者からの外部メールのみを許可することです。もう一つの方法は、Cisco Talosが明らかにしたように、詐欺師が頻繁に利用する無料メールプロバイダーからのメールをブロックすることです(図A)。
図A
ただし、信頼リストにまだ追加されていない人から外部メールが届くことがあるため、メール ブロック リストの作成はユーザーにとって難しい場合があります。
BECメールのポリシーベースの検出機能を導入するには、いくつかのセキュリティソフトウェアが役立つ場合があります。これらのソリューションは通常、受信メールで使用されるデータベースに、幹部の名前とメールアドレスを保存します。メールの「差出人」欄に名前が見つかり、データベースに保存されている正当な名前と一致しない場合、BEC攻撃の警告が発せられます。
この検出タイプには明らかな限界があります。メールが幹部以外の人物から送信された場合、アラートは発動されません。攻撃者は場合によっては「送信元」フィールドのアドレスを偽装し、「返信先」フィールドは別のものを使用する可能性があり、「送信元」フィールドのみに基づく検出の場合、一部の検出を回避できる可能性があります。
また、場合によっては、詐欺師が役員のメールボックスを侵害し、そのような検出の警告が出されずに役員になりすましてメールを送信できる可能性もあります。
別のアプローチ:MLベースのモデルプロファイル構築
Talos の調査によると、機械学習アルゴリズムを使用してすべての電子メールを分析することで、C レベルの役員のプロファイルを作成することが可能です。
このプロファイルは、人物の文章スタイル、活動、メール送信時の位置情報、投稿のタイムスタンプなど、複数の項目に基づいて作成されます。また、人物と他者とのメールのやり取りを記録した関係グラフも生成される可能性があります。
プロファイルからの逸脱があった場合、BEC アラートが発令される可能性があります。
従来の検出方法と同様に、この方法にもいくつかの限界があります。プロファイルの生成は実際のトラフィックから行う必要があり、データ収集、モデル構築、トレーニングには時間がかかります。また、企業の全従業員向けにプロファイルを構築するのは困難です。
企業内でなりすまされた非役員のうち、50% 以上がエンジニアであると Talos は示しています (図 B )。
図B
BEC検出における意図ベースのアプローチ
このアプローチは、ポリシーベースおよび機械学習アルゴリズム方式の最大の問題、つまりモデルの非スケーラビリティと送信者の電子メール アドレスとその名前のデータベースを維持することの難しさを解決することを目的としています。
BEC 詐欺の検出におけるこれらの制限を克服するために、Talos は意図ベースのアプローチを提供します。
このアプローチは、BEC脅威の検出を2つの異なる問題に分離します。1つ目はバイナリクラス問題で、電子メールをBECメッセージに分類します。2つ目はマルチクラス問題で、BECを詐欺の種類に分類します。
参照: Jamf Now でチームの Apple デバイスを最適化して保護する (TechRepublic Academy)
研究者は、意図ベースのアプローチは BEC メールを検出するだけでなく、給与、送金、最初の誘い、ギフト カード詐欺、請求書詐欺、買収詐欺、W2 詐欺、経過報告など、BEC 詐欺の種類に分類すると説明しています。
技術的な観点から言えば、これはメール本文を抽出し、文章を数値ベクトルに変換することから成ります。この変換はNNLMまたはBERTアルゴリズムに基づいており、文章中の単語の意味を解釈し、ディープニューラルネットワークを用いて検出と分類を行います。最終的な出力は、メールがBEC攻撃である確率です。結果の信頼性が低い場合、最終的な信頼指標を提供するために、より多くの分析的検出が行われます。
このアプローチは、社内で誰がなりすましているかに関係なく機能します。
図C
意識を高める必要性
企業や従業員を BEC 詐欺の被害から守るためにどのような自動化ソリューションを導入するにしても、従業員をトレーニングし、BEC 詐欺とは何か、どのように発生するのか、どのようなソーシャル エンジニアリングのトリックが使用されるのか、何を疑うべきなのかについての認識を高めることは、依然として非常に重要な追加事項です。
ユーザーは、BEC詐欺がメールだけでなく音声でも発生する可能性があることにも注意する必要があります。一部のBEC詐欺では、従業員へのアプローチに電話やSMSが利用されることもあります。
送金方法の変更や受取人銀行口座の突然の変更など、あらゆる試みは直ちに警戒を呼びかけ、調査する必要があります。標的となったユーザーは、詐欺行為が行われていないことを確認するために、別の通信チャネルを通じてリクエストの送信者に連絡を取ることをためらうべきではありません。
TechRepublic Premium のポリシー専門家によるモバイル デバイス セキュリティ ポリシーを使用して、チームのモバイル デバイスを保護し、フィッシング詐欺をより迅速に検出します。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
