Abnormal AIによる新たな調査によると、ベンダー・メール侵害(VEC)攻撃はますます効果を高めており、エンゲージメント率は「憂慮すべきほど高い」という。
Infosecurity Europe 2025の期間中に公表されたこの調査では、EMEA地域においてVECメッセージがビジネスメール侵害(BEC)を上回ったことが明らかになった。
EMEAでは、VECメッセージに対する第2段階のエンゲージメント率が47.3%で、BECのエンゲージメントを90%上回った。さらに、再エンゲージメントはBECの2倍以上だった。
エンゲージメントとは、最初のメールを読んだ受信者が行うフォローアップ行動を指し、返信やメッセージの転送などが含まれる。
また報告書は、EMEAの組織は全地域の中でVECの報告率が最も低く、0.2%だったことも示した。対照的に、BECの報告率は4.2%で最も高かった。
また、BECに対する第2段階のエンゲージメント率も最も低く(24.7%)だった。
VECとBECはいずれも、見慣れた身元を悪用して従業員をだまし、偽の請求書の支払いをさせたり、不正な電信送金を開始させたりする点で共通している。
しかしBECと異なり、VEC攻撃ではなりすまされる人物は、パートナーやサプライヤーなどの外部の第三者である。
BECでは、攻撃者は通常、CEOなど経営陣の上級メンバーになりすます。
EMEAと比べると、APAC(40.2%)および北米(44.4%)ではVECのエンゲージメント率がわずかに低かった。世界平均は44%だった。
しかし、これら2地域はBEC攻撃に対してははるかに関与しやすかった。
研究者らは、この傾向は、より階層的な職場の力学といった文化的要因の結果である可能性があると述べた。つまり、権威に基づく要求(BECの特徴)に従業員が応じる可能性が高いということだ。
12か月の観測期間にわたり、攻撃者はVECを通じて3億ドルを盗もうと試みた。
研究者らは、この結果は、特に既知のベンダーから来たように見えるメールの場合、従業員が正当なメッセージと攻撃を区別するのにしばしば苦労していることを示していると述べた。
Abnormal AIのCIOであるマイク・ブリットン氏は次のようにコメントした。「VECの件数はフィッシングやランサムウェアより少ないものの、その成功率と潜在的な金銭的影響ははるかに大きい。特に、武器化されたAIによって、攻撃者が信頼されたベンダーになりすますことがこれまで以上に容易になっている。」
同氏はさらにこう付け加えた。「高額な人的ミスを防ぐために、組織は事後対応的なトレーニングにとどまらず、脅威が受信箱に届く前に遮断する先回りの防御を採用しなければならない。」
この調査を実施するにあたり、研究者らは、読まれた攻撃のみを用いてデータを標準化し、件数を変数から除外することで、インシデント頻度ではなくユーザー行動に基づいて結論を導けるようにした。
業界および組織による差異
Abnormalの報告書は、VECのエンゲージメント率が組織規模の拡大とともに上昇することを明らかにした。
従業員数が5万人以上の最大規模の組織では、72.3%のケースで追加の行動が取られていた。
対照的に、従業員500~1000人の組織では、エンゲージメント率は24.2%だった。
大規模組織がVEC攻撃により脆弱である理由の一つは、利用するサードパーティベンダーの数が多いことかもしれない。つまり、第三者からのメール連絡を受け取ることに慣れているため、なりすましを検知しにくくなる。
VECのエンゲージメント率が最も高かった業界は通信で、71.3%だった。
研究者らは、通信企業はサービス提供のために、ベンダー、再販業者、インフラ提供者、テクノロジーパートナーからなる複雑なネットワークに依存していると指摘した。
さらに、通常は地理的に分散した大規模チームを抱えている。
これにより、社内チームと外部パートナー間の調整において、メールがとりわけ重要なチャネルとなる環境が生まれる。
次いでVECのエンゲージメント率が高かった業界は、エネルギー・公益事業(56.2%)、ホスピタリティ(55.6%)、持株会社(53.6%)、建設/エンジニアリング(53.5%)だった。
翻訳元: https://www.infosecurity-magazine.com/news/vec-effective-driving-engagement/
