新たなデータが公開され、ビジネスメール詐欺の危険性が浮き彫りになっています。
ビジネスメール詐欺(BEC)攻撃は、あまり多く報道されていませんが、BECではさまざまなソーシャルエンジニアリングの手法が使用され、企業のメールアカウントや組織の個人へのなりすましが行われます。攻撃は単純であり、大きな混乱や動揺を引き起こすことはないように思われるかもしれませんが、それはBEC攻撃を受けたことに気付くまでのことです。
ミネソタ州に本社を置くセキュリティ企業のArctic Wolfが公開した「サイバーセキュリティの現状:トレンドレポート2024年版」によると、過去1年以内にBEC攻撃の標的になったと報告した組織は70%に達しています。これらの70%の組織が受けたBEC攻撃の内訳を示すデータも興味深いものでした。
- 21%の組織が、攻撃を検出して阻止した。
- 29%の組織が、「1回以上の独立したBEC攻撃」によって実際に被害を受けた。
- 20%の組織が、「より大規模なセキュリティ侵害の一部として実行された」少なくとも1回以上BEC攻撃によって被害を受けた。
また、Arctic Wolfによると、2023年に対応したインシデントに占めるBEC攻撃の割合は29.7%で、ランサムウェア攻撃に次いで2番目で多くなっています。
同レポートに記載されている「より大規模なセキュリティ侵害の一部」という説明に戻りましょう。BEC攻撃は金銭の詐取がその最終的な目的であることはほぼなく、詐欺、アイランドホッピング攻撃、クレジットカード/ギフトカード詐欺などを行うための準備工作になっています。BECへの警戒を強めなければならないのは、このためです。
KnowBe4も生成AIを悪用する手法が高度化しBEC攻撃が増大していることを確認しているため、今回公開されたデータについて特に驚きはありません。
フィッシングは注目されており、報道でも取り上げられることが多くあります。BECも深刻な被害をもたらす場合があり、昨年の被害額は24億ドルに達しています。BEC攻撃を未然に防ぐことができた企業は21%でしたが、この数字をさらに増やすためには、セキュリティ意識向上トレーニングを実施して、メールのなりすましを特定できるように、すべての従業員に教育することが不可欠です。
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年6月7日発信 https://blog.knowbe4.com/nearly-three-quarters-of-organizations-were-the-target-of-attempted-business-email-compromise-attacks