クラウドストライク2026年版グローバル脅威レポートエグゼクティブサマリー:AI時代に必読の脅威インテリジェンスレポート
ダウンロード

BECとは

BEC(ビジネスEメール詐欺)とは、攻撃者が信頼できる人物のデジタルアイデンティティを装い、従業員や顧客をだまして支払いや購入、データの共有、機密情報の漏洩などの目的の行動を取らせようとするサイバー攻撃手法です。

FBI’s 2022 Congressional Report on BEC and Real Estate Wire Fraud」によると、BECは「最も成長が著しく、最も大きな金銭的損害を与えるインターネットを使用した犯罪の1つ」です。Internet Crime Complaint Center (IC3) によると、2021年の損失額は24億ドルを超え、2016年から566%も増加しました。リモートワークの増加やEメールなどのデジタルコミュニケーションチャネルの普及により、BECの件数はさらに増加すると予想されます。

EAC(Eメールアカウント侵害)とBEC

Eメールアカウント侵害 (EAC) は、ハッカーがソーシャルエンジニアリング、マルウェア、パスワードクラッキングツールなどのさまざまな手法を利用して正当なEメールアカウントを侵害するサイバー攻撃手法です。

多くの場合、BEC攻撃者とEAC攻撃者の目的は同じです。つまり、金銭、データ、その他の機密情報を盗むことです。主な違いは、BEC攻撃では、ハッカーが単純にビジネス経営者、弁護士、重要なベンダーなどの信頼できる人物になりすますことです。これには、通常はスプーフィングされたEメールアカウントが使用されます。その人物は、従業員などに、攻撃者のアカウントへの資金送金など、特定の行動を取るよう指示しようとします。

EAC攻撃では、攻撃者は正当なEメールアカウントを侵害し、そのアカウントの所有者として振る舞います。アクターは実際の認証情報にアクセスして、不正なアクティビティを実行したり、多要素認証ツールをバイパスしたりできます。

5種類のBEC詐欺

FBIによると、 BEC詐欺には主に5つの種類があります。

1. アカウント侵害

アカウント侵害では、従業員のEメールアカウントがハッキングされ、金融犯罪やデータ関連犯罪の手段として使用されます。ほとんどの場合、攻撃者はアカウントを使用してベンダーに代わって支払いを要求します。その後、資金は攻撃者が所有または管理しているアカウントに送金されます。

2. 弁護士なりすまし

弁護士なりすまし攻撃は、一般的に新入社員や若手社員を標的にします。この攻撃では、ハッカーは弁護士や法務チームメンバーになりすまし、データの送信や電信送金の要求などの行動を取るよう従業員に圧力をかけたり、操作したりします。要求は一般的に緊急、機密、またはその両方として示されるため、多くの新入社員や比較的経験の浅い社員は、要求の検証方法がわからず、マイナスの結果にならないよう従うだけです。

3. CEO詐欺

CEO詐欺は弁護士なりすまし攻撃に似ていますが、攻撃者がCEOになりすまします。ほとんどの場合、攻撃者は財務チームのメンバーを標的にし、時間的制約のある問題または機密事項について緊急のサポートが必要であると主張します。このような場合、従業員は攻撃者が管理するアカウントにお金を送金するよう仕向けられます。

4. データ窃取

BEC攻撃は、データを得るために企業を標的にすることもあります。データの窃盗攻撃では、攻撃者は人事チームメンバーや財務チームメンバーに狙いを定め、会社の従業員や顧客の個人情報を盗もうとするのが最も一般的です。この情報は、ダークウェブで販売されたり、将来の攻撃の通知や実行に使用される可能性があります。

5. 偽請求書詐欺

偽請求書詐欺では、攻撃者がベンダーになりすまして、従業員にサービスの支払いを要求します。ほとんどの場合、攻撃者は自分が実際のベンダーであることを示し、公式のベンダー請求書テンプレートを編集します。攻撃者はアカウントの詳細を変更して、ハッカーが所有するアカウントに資金が送金されるようにします。

BEC詐欺の仕組み

ほとんどのBEC詐欺は同じプロセスをたどりますが、攻撃者が装うアイデンティティとその標的は異なります。
フェーズ説明
1. アイデンティティのリサーチ熟練したBEC攻撃者は、標的を徹底的に調査し、引き起こしたいアクションに応じて装うアイデンティティを決定します。例えば、詐欺師が手っ取り早く成果を上げたい場合は、会社のCEOやその他の経営幹部によく似たEメールアカウントを作成し、その従業員に社内チームへのボーナスまたはベンダーへの感謝のしるしとしてデジタルギフトカードを購入し、詐欺師に送信するよう要求します。BEC詐欺は、さらに手の込んだものであることもあります。例えば、ハッカーは給与計算プロバイダーなどの新しいベンダーを装い、給与計算サービスの無料トライアルを提供する場合があります。これは、従業員の個人情報を盗んだり、架空トライアルの期間に給与を流用したりすることが目的です。
2. 従業員のリサーチハッカーは自分の攻撃手法と偽のアイデンティティを特定したら、標的に関する調査を実行する必要があります。これには、連絡先情報の入手や一般的なEメールアドレス形式を特定するための会社Webサイトのマイニングも含まれる場合があります。また、LinkedInなどのソーシャルネットワーキングサイトを利用して、さまざまなチームメンバーの名前や役職、役割と責任も調査する場合があります。十分な調査により、攻撃者は、過去に同様の正当な要求を処理した人物または会社のプロセスや手順をよく知らない可能性がある従業員に狙いを定めることができます。
3. 攻撃の準備アイデンティティと標的を設定すると、攻撃者は攻撃の他のコンポーネントを準備します。これには、スプーフィングされたEメールアカウントの作成、偽の会社Webの投稿、銀行口座の設定、請求書またはその他攻撃者がアイデンティティや要求を立証するために必要なアセットの作成が含まれます。
4. 攻撃の開始最終段階では、攻撃者は計画を実行に移します。BEC詐欺師は、デジタルアイデンティティを使用して、目的の行動を取るように標的を操作したり圧力をかけたりします。多くの場合、誤った切迫感を抱かせることで、標的が別の従業員と相談したりシナリオを熟考することなく要求に対処するようにします。攻撃者が成功すると、攻撃はハッカーへの金銭、データ、その他の情報の転送という形で終了します。

BECの3つの手法

BEC攻撃者は、さまざまな手法を利用して攻撃を実行します。最も一般的なものは、次のとおりです。

  • ドメインスプーフィングドメインスプーフィングは、攻撃者が偽のWebサイトやEメールドメインを使用して既知の企業や個人になりすまし、相手をだまして信頼させるフィッシングの一種です。通常、ドメインは一見正当に見えますが、よく見るとWが2つのVだったり、小文字のLが大文字のIだったりします。メッセージに返信したり、サイトとやり取りしたりするユーザーはだまされて機密情報を漏らしたり、送金したり、悪意のあるリンクをクリックしたりしてしまいます。
  • ソーシャルエンジニアリングソーシャルエンジニアリングは、機密情報の提供など、目的の行動を取るよう人を操作する行為です。ソーシャルエンジニアリング攻撃が機能するのは、人間が金銭、愛情、恐怖などの強力な動機によって衝き動かされることがあるためです。攻撃者は、このような欲求を満たすための偽の機会を提供することで、人間のこの特性を利用します。
  • 侵害されたアカウント:侵害されたアカウントとは、攻撃者によって侵害されたEメールアカウントまたはシステムアカウントのことです。ハッカーは、ソーシャルエンジニアリング、マルウェア、パスワードクラッキングツールなどのさまざまな手法を利用してアカウントを侵害する可能性があります。制御権を持つと、攻撃者はユーザーになりすまし、正当な所有者と同じアクティビティを実行できます。

誰が警戒すべきか - BEC詐欺の一般的な標的

あらゆる企業がBEC攻撃の標的になる可能性があります。実際、多くの中小企業は、特にこの種の攻撃の影響を受ける可能性があります。これは、プロセスが厳格でない、または承認チェーンが短い組織は詐欺師が操作しやすいためです。個人レベルでは、このような攻撃の標的となる頻度が高い傾向にある人がいます。次のような人です。

  • 経営幹部:経営幹部は、多くの権力と情報を握っているだけでなく、世間での知名度も高くなっています。そのため、個人の職歴、興味、交友関係を調査しやすく、ハッカーは正当な個人連絡先または専門家の連絡先になりすます機会が得られます。ハッカーは不満や問題を抱えている地位の高い個人を標的にし、要求を組織内の適切な連絡先に転送することを経営幹部に要求する場合もあります。これにより、攻撃者は財務部門や人事部門の人に直接連絡を取り、将来の攻撃の標的にすることができます。
  • 財務チームのメンバー:財務チームは、ベンダーの支払いから給与に至るまですべてを管理し、膨大な量の個人データや機密情報も保持しています。多くの場合、ハッカーはこれらの従業員を標的にします。それは、これらの従業員が日常的な支払いの処理、電信送金、経営幹部のアドホックな財務タスクの実行、支払いデータベースやアカウントデータベースの維持などを行うからです。財務チームのメンバーに侵入したハッカーは、偽請求書詐欺を実行したり、ベンダーの支払い詳細の更新を要求したり、給与を流用したりする可能性があります。
  • 人事リーダー:人事部門は、多くのハッカーにとって真の宝の山です。攻撃者は、人事リーダーを標的にして、社会保障番号、個人を特定できる情報 (PII)、給与明細、個人の連絡先の詳細、その他の機密情報など、従業員の個人情報にアクセスしようとします。このデータは、ダークウェブで販売されたり、将来の攻撃の実行に使用されたりする可能性があります。
  • 新入社員または経験の浅い社員:新入社員または若手社員もBEC攻撃の一般的な標的です。これは、社内のプロセスや手順に不慣れで、通常とは異なる要求の検証方法を知らない場合が多いからです。新入社員は、経営幹部の要求の種類、経営幹部が使用するコミュニケーションチャネル、アクティビティを確認および検証する必要がある人をよく知らない場合もあります。

BEC詐欺に対する保護方法

BEC攻撃は、マルウェアやウイルスなどのデジタルツールとは対照的に、人と人とのつながりを利用します。そのため、アンチウイルスソリューションやエンドポイント検知・対応(EDR) などの従来のセキュリティツールでBECを検知または保護するのは困難です。

BEC攻撃は、一般的に人間中心であるため、保護と防御の手法も人間中心である必要があります。BEC攻撃に対して防御する際に考慮すべきベストプラクティスを以下に示します。

1. すべての従業員に対して着実なサイバーセキュリティトレーニングプログラムを実施する

BEC攻撃に対する組織の防御の最前線は従業員です。そのため、組織は、ソーシャルエンジニアリング技術に関する特定のモジュールが含まれる着実なサイバーセキュリティトレーニングプログラムを作成することが不可欠です。トレーニングプログラムの一環として、組織はさまざまなシミュレーションやドリルを実施してコースの有効性をテストできます。

トレーニングでは次の点について説明します。

  • 特定の従業員の個人情報の要求など、通常とは異なる、非定型的、または不適切な経営幹部からの要求を構成するのは何か
  • 金融取引の適切なプロセスと手順(当該アクティビティの実行が承認されている人物、その人物に別のチームメンバーに対する要求を通知する方法など)
  • ベンダーの請求書管理の適切なプロセスと手順(緊急な要求の場合でも)
  • 攻撃者が恐怖、脅迫、機密性、または緊急性を利用して従業員を操作する方法の例
  • スプーフィングされたEメールアドレスまたはドメインおよび不整合な「返信先」アドレスを特定する方法

詳細

詳細については、関連する投稿「従業員サイバーセキュリティ基本トレーニングテンプレート」をご覧ください。

読む:従業員サイバーセキュリティ基本トレーニングテンプレート

2. ゼロトラスト戦略を実施する

ゼロトラストは、アプリケーションやデータへのアクセス権を付与するにあたり、すべてのユーザーに承認と認可を求めるセキュリティ概念です。このフレームワークは、リスクベースの多要素認証、アイデンティティ保護、次世代エンドポイントセキュリティ、堅牢なクラウドワークロードテクノロジーなどの高度なテクノロジーを組み合わせて実行され、ユーザーやシステムのアイデンティティ、その時点でのアクセスへの配慮、システムセキュリティの維持を検証します。これは、攻撃者が正当なシステムユーザーのアイデンティティを引き継ぎ、その人になりすますEAC攻撃を防止するうえで特に重要です。

3. ディープウェブとダークウェブに侵害の兆候がないか監視する

ダークウェブとは、ユーザーがTORなどの特別なWebブラウザを介して匿名でインデックスのないWebコンテンツにアクセスできるインターネットの一部です。ダークウェブ監視ツールは、ダークウェブ用の検索エンジン(Googleなど)に似ています。これらのツールは、漏洩したパスワード、侵害された認証情報、知的財産、ダークウェブで活動する悪意のあるアクター間で共有および販売されているその他の機密データなど、漏洩したり盗まれたりした情報を見つける場合に役立ちます。

詳細

ダークウェブ監視ツールに関する初心者向けガイドを読んで、ダークウェブの仕組みと保護を維持する最善の方法について理解を深めてください。

読む:ダークウェブ監視ツール

4. BECを攻撃手法として利用するアクターのインベントリを作成する

高レベルのリスクに直面している大規模組織では、BECを利用するアクターを追跡して分析するのも賢明かもしれません。通常、これには信頼できるサイバーセキュリティソリューションプロバイダーとのパートナーシップが必要であり、組織はサイバー攻撃者の世界を特定し、組織に影響を及ぼす可能性が最も高いアクターと手法に的を絞ることができます。

5. インシデント対応 (IR) 計画を設定する

インシデント対応 (IR) とは、データ侵害に対する準備、データ侵害の検知、封じ込め、およびデータ侵害からリカバリするステップです。最も評価の高い2つのインシデント対応フレームワークは、ITチームがインシデント対応計画を立てるための基盤となるよう、NISTとSANSが開発したものです。

BECソリューションとEACソリューション

多くのサイバー攻撃と同様に、BECとEACに対する組織の最善かつ最も重要な防御線は、積極的で知識豊富な警戒心の強い従業員です。

BEC攻撃は人間を標的にしますが、組織がリスクを軽減してそのような攻撃に対する防御を強化するために実行できるステップはまだあります。

CrowdStrike Falcon® Intelligence Reconは、セキュリティチームがネットワーク境界外の攻撃者とそのアクティビティを追跡できるセキュリティソリューションです。このツールにより、組織は次のことを実現できます。

  • 犯罪者の地下活動を監視する
  • 流出した機密データを特定する
  • ドメインの偽装を検出する
  • アラートを割り当て、追跡、管理する
  • 攻撃者プロファイルを作成する
  • 外部の攻撃ベクトルを検出する

CrowdStrike Falcon® Identity Threat Detectionは、AIと振る舞い分析を活用して、最新の攻撃を阻止するための深い実用的なインサイトを提供し、アイデンティティベースの脅威をリアルタイムで超高精度に検知できるようにするセキュリティソリューションです。このツールにより、組織は次のことを実現できます。

  • すべての認証情報のインサイトと分析を解明する
  • 認証されたアカウントのラテラルムーブメントを検知する
  • ログを使用せずにADセキュリティを有効にする

トゥイ・グエンは、クラウドストライクのシニアプロダクトマーケティングマネージャーとして、Falcon OverWatchの脅威ハンティングサービスを担当しています。前職では、MicrosoftでAIと機械学習、特にオープンソースソリューションと責任あるAIにおける向上とソートリーダーシップの推進を担当していました。ミシガン大学でMBAを取得し、テクノロジーとマーケティングを専攻しています。現在は、マサチューセッツ州ボストン在住です。