ビジネスメール詐欺(BEC)はメディアでは単なるメール詐欺として語られることが多いですが、実態は組織的かつ広範な作戦の一環です。メール自体は攻撃チェーンの一部に過ぎません。メール詐欺を成功裏に収益化するためには、攻撃者は忍耐強く組織の調達プロセスを学び、インフラ全体と作戦基盤を構築または賃借する必要があります。
BEC攻撃の一連の流れには、ターゲット企業へのアクセス取得、生データの収集、メールボックスのコンテキスト分析、信頼性の高い通信チャネルの構築、安定した決済インフラの確保、適切なタイミングでの一連の調整、そして資金が盗まれた後の送金手段の確保といった要素が含まれます。
Flareの研究者たちは、過去1年間にわたるBECに関するアンダーグラウンドの投稿をサンプリングして分析しました。主な調査結果は以下の通りです。
- AIを活用したBECが普及しており、学習時間の短縮と詐欺の「品質」向上につながっています。
-
攻撃者が主に狙うのはSaaSアカウント(O365など)で、経営幹部と財務部門の従業員が最も標的にされます。
-
ターゲット企業に不正な支払いを実行させるための圧力をかける専用コールセンターが存在します。
-
キャッシュアウトはBECにおける最大のボトルネックであり、ハッカーは適切な企業の銀行口座またはキャッシュアウトパートナーを見つける必要がありますが、これは比較的難しいとされています。
メールを超えるBECの脅威
BECは、組織のメールボックスや業務用SaaSアカウントへのアクセスから始まります。侵入後、脅威アクターはアカウントを分析し、組織の構造、特に財務権限、調達プロセス、内部の会話、ベンダーとのやり取り、請求書などを調査してマッピングします。
情報収集が完了したら、脅威アクターは不正なリクエストを試みます。
BECの検出を難しくしているのは、まさにこの点です。未知の送信者からの不審なメールであれば話は別ですが、侵害されたメールボックスから既存の会話スレッドの中で送られてきたメッセージが、本物の氏名、実際の請求書番号、見慣れた表現を使っていれば、従業員が疑いを持つのははるかに困難です。
当然ながら、Flareのデータは、脅威アクターが財務部門の従業員のメールアカウントを財務オペレーションを把握するツールとして高く評価していることを示しています。
これらのアカウント内で、脅威アクターは売掛金、買掛金、給与、請求書、滞納支払い、顧客との支払い関係などを調べています。
ケーススタディ:ハッカーによるBECに関する議論
2026年1月にBigjackという名の脅威アクターによって作成された「Business Email Compromise (BEC) – Experiences & Discussion」というスレッドは、この一連の作戦がどのように機能するかを明確に示しています。
Bigjackは、リモートアクセスマルウェアを使って初期アクセスを取得し、企業のメールボックスを侵害して請求書を送信する手口を説明しました。この攻撃者の質問は、技術的な侵入よりも、経験に基づく実際の詐欺の実践的な側面に重点が置かれていました。
-
請求書を送るタイミング
-
緊迫感の演出方法
-
不審を抱かせずに高額を要求する方法
-
再利用すべきメールボックス情報の内容
-
問い合わせがあった場合に提示できる証拠の種類
-
作戦を台無しにするミス
このスレッドへの返信は、他の脅威アクターがBECをどのように捉え、どのような経験を持っているかを示しています。ある脅威アクターは請求書の支払いプロセスを横取りすることの重要性を強調し、別のアクターは誰が支払いリクエストを承認するかを特定してその人物を欺くことが最も重要だと述べました。また、他の脅威アクターはキャッシュアウトの重要性を強調し、信頼できる協力体制とサポートが最も重要な要素だと述べています。
このひとつのやり取りから、脅威アクターのBECに対する考え方が明確に浮かび上がります。脅威アクターは経験から、効果的な不正請求書を送り始める前に、調達プロセス(適切なタイミング、適切なプレッシャー、適切な財務コンテキスト、適切な受取口座)を完全に理解する必要があることを学んでいます。
ボトルネックとなるキャッシュアウト
BECを収益化するには信頼性の高い受取口座が不可欠であり、脅威アクターはマネーミュールのネットワークに接続してキャッシュアウトサービスを利用します。詐欺を完結させるには、信頼性があり稼働中の「クリーンな」適切な銀行口座を見つける必要があるため、これは困難な作業です。
neoresuという名の脅威アクターは、振込先の銀行口座だけでなく、支払いを承認する担当者への対処も重要だと強調しています。彼は自らのサービスを提供するとともに、成功率を高めるためにコールセンターを活用することについても言及しました。
「Capita」という別の脅威アクターは、ヨーロッパ(主にドイツ、フィンランド、オーストリア)で6年間にわたりBEC活動を行ってきたと主張し、P2P送金と、企業に迅速な支払いを迫るためのコールセンターの活用について説明しました。
BECスキームのためにマネーミュールを募集する投稿も確認されています。特に企業の銀行口座と迅速な資金移動に関わるものです。
圧力をかける支援コールセンター
複数の投稿がBECプロセスにおける電話の役割に言及しています。Bigjackのスレッドでは、請求書送付後のコールタイミングについて質問があり、別の参加者は企業に迅速な支払いを促すために使用するコールセンターを運営していると主張しました。
BECが常にメールだけの詐欺とは限らないため、この点は重要です。フォローアップの電話によって、リクエストがより正当かつ緊急のものに見えてしまいます。防御側は、リクエストした本人が第2のチャネルを導入または管理している場合、そのチャネルを真正性の証拠として扱わないようにしてください。
AIを活用したBEC攻撃
アンダーグラウンドでの議論から、AIがBECキャンペーンの効果とスケーラビリティを高めるためにますます活用されていることがわかります。
以下に示すblackhatpakistanの投稿では、AIを使ってリアルなビジネス文書を生成し、経営幹部や従業員の文体を模倣し、正規のコミュニケーションに溶け込むような文脈を考慮した支払いリクエストや請求書詐欺メールを作成することが説明されています。
単一のテンプレートに依存するのではなく、AIによって何千もの独自のメールバリエーションを生成できるため、従来のコンテンツベースの検出システムでは識別が難しくなっています。
メール会話チェーン全体を生成するための専用のアンダーグラウンドツールも宣伝されており、攻撃者はこれを使って既存のビジネス上の議論を乗っ取り、より高い真正性を持つ不正な支払いリクエストを注入できます。
防御側のための実践的アドバイス
アンダーグラウンドの議論から、BECへの防御を強化する必要性が明確に示されています。セキュリティ態勢は、最初の不正請求書が届くよりはるか前から整えておく必要があります。攻撃者から学んだことは以下の通りです。
-
攻撃者は組織内の特定の人員を標的にします。防御側は潜在的なターゲットを特定し、経営幹部、財務部門、調達プロセスに関わるすべての人員に対して追加のトレーニングを実施する必要があります。
-
攻撃者は現在、メール、請求書、文書、メッセージなどのAIを活用したアーティファクトを使用しています。防御側はAI生成コンテンツやディープフェイクを識別できるようにする必要があります。
-
攻撃者は専用のコールセンターを使って財務上の意思決定者や支払い承認者に圧力をかけ、不正な取引を承認させます。防御側はインテリジェンスを収集し、これらのセンターが使用するテクニックを学んで、関連する従業員への教育をより効果的に行う必要があります。
-
攻撃者は承認者が休暇中であるなど、特定のタイミングの重要性を強調し、詐欺活動の成功率を高めるためのヒントを共有しています。防御側はこうした特定のマーカーを把握し、従業員の休暇期間など特定の時期には追加の防御メカニズムを適用する必要があります。
Flareは、セキュリティチームがこれらのアンダーグラウンドマーケットを可視化し、流出した従業員の認証情報、企業ドメイン、ログインポータル、SaaSアプリケーション、および関連指標をディープウェブおよびダークウェブのソース全体でモニタリングすることを支援します。
これにより、組織はアクセスポイントが認証情報コレクションや検索サービスの広告に出現したタイミングを検出し、最も重要な露出を優先して、パスワードリセット、セッション無効化、MFA強制適用、アカウント不正使用の調査などで迅速に対応できます。
