TokyoBlackHatNews

cyberwarriorsmiddleeast.com 5分で読了

増大する脅威:デュアルチャネル攻撃が2026年のビジネスメール詐欺に革命をもたらす

2026年におけるビジネスメール詐欺の進化する脅威を理解する

ビジネスメール詐欺(BEC)は、2026年に入り、新しくより危険な形態を取りつつあります。サイバー犯罪者が戦術を絶えず革新する中、組織はこれらの高度な攻撃から自らを守るために警戒を続ける必要があります。最新のトレンドの一つは、デュアルチャネルBEC戦術の台頭です。これは複数のコミュニケーションプラットフォームを組み合わせて信頼性と緊急性を高めるものです。

デュアルチャネルBEC攻撃とは何か?

従来、BEC攻撃は、サイバー犯罪者が正規のビジネスメールアカウントへのアクセスを獲得するか、なりすますことを伴います。その目的は、従業員、財務チーム、またはビジネスパートナーを欺いて金銭を振り込ませたり、機密情報を漏洩させたりすることです。デュアルチャネル攻撃は、複数のコミュニケーション媒体を使用することで、この手法をレベルアップさせます。

典型的なシナリオでは、被害者は「緊急の支払い」を要求する詐欺メールを受け取り、その直後に電話やSMS、メッセージングアプリを介したメッセージがその要求を確認するように見えます。場合によっては、順序が逆になります:電話が文脈を設定し、その後に「書面による指示」を提供するメールが続きます。この複数チャネルのアプローチは被害者を安心させ、要求を本物に見せ、即座の対応を要求します。

なぜ脅威が増大しているのか?

デュアルチャネルBEC攻撃の高度化の増大は、いくつかの要因に起因します。犯罪者は、侵害やソーシャルメディアから得たデータを使用して、日常的で正当に見えるメッセージを作成しています。特定の職務役割、報告構造、サプライヤー関係の知識により、彼らは攻撃を微調整できます。

さらに、現代の技術は彼らの味方です。VoIP(Voice-over-Internet-Protocol)サービスと使い捨て電話番号が彼らの身元を保護し、生成的人工知能ツールが説得力のあるメールや通話スクリプトの作成を可能にします。この技術の融合により、詐欺師のスキルバリアが低下し、攻撃がより効果的になっています。

最もリスクの高いセクター

BEC攻撃はあらゆる規模の組織に影響を与える可能性がありますが、特定のセクターは特に脆弱です。不動産法律サービス製造業医療などの分野は、時間に敏感な支払いや第三者取引を伴うことが多い業務の性質上、頻繁に標的にされます。

攻撃者は、迅速に行動するプレッシャーが必要な検証プロトコルを覆す可能性がある、財務チーム、買掛金部門、上級幹部に照準を合わせることがよくあります。一般的な戦術は、ベンダーになりすまして銀行口座詳細の変更を要求し、フォローアップメッセージや電話が捏造を補強することを含みます。

財務損失は依然として深刻

継続的な意識向上キャンペーンにもかかわらず、BECは依然としてサイバー犯罪の中で最も財務的に損害を与える形態の一つです。損失は容易に数億ルピーに達する可能性があり、特に取引が即座に報告されない場合、回収は非常に困難になります。

詐欺師が採用するデュアルチャネル戦術は検出を複雑にします。従業員は二次媒体を通じた確認を正当な証拠と見なす可能性があり、両方のチャネルが侵害されていることに気づきません。

なぜ既存の防御が不十分なのか

多くの組織は技術的なメールセキュリティ対策に大きく依存していますが、BECスキームにおけるソーシャルエンジニアリングの重要性を過小評価しています。多要素認証やメールフィルタリングはアカウント侵害のリスクを減らすことができますが、外部アカウントからのなりすましや詐欺的なコミュニケーションから完全に保護することはできません。

保護を維持するために、組織は支払い要求や財務詳細の変更に対して厳格な検証手順を実施する必要があります。これらがなければ、組織はますます巧妙な詐欺に対して脆弱なままです。

研究と専門家の警告

Future Crime Research Foundationの研究は、デュアルチャネルBEC攻撃がスキームをより組織的で危険なものにすることを示しています。技術的な巧みさと心理的プレッシャーを組み合わせることで、これらの攻撃は憂慮すべきものです。

元IPS職員でサイバー犯罪専門家のTriveni Singh教授は、緊急の支払い要求や異常に機密性の高い指示は危険信号であると強調しています。指示が2つの別々のチャネルを通じて到着する場合、追加の検証は稀な例外ではなく標準であるべきです。

組織ができること

  • 必須のアウトオブバンド検証:すべての支払い要求は独立した検証プロセスを経る必要があります。
  • サプライヤー銀行詳細の変更に対する厳格な管理:支払い方法の調整が綿密に監視されることを確保します。
  • 明確なエスカレーション手順:異常または緊急の要求を処理するためのプロトコルを確立します。

定期的なスタッフトレーニング、模擬フィッシング演習、「最初に検証し、後で支払う」文化の醸成も、2026年のBEC脅威を軽減するための重要な要素です。

セキュリティ専門家は、デュアルチャネルBEC攻撃が標準になる可能性が高いと警告しており、警戒心、手続き上の規律、強力な検証文化が組織の安全性にとって極めて重要であることを示しています。

著者について

Rehan Khanは、サイバー犯罪、デジタル詐欺、新興技術法に強い関心を持つ法学生兼法律ジャーナリストです。彼は法律、サイバーセキュリティ、オンライン安全の交差点に焦点を当て、インドの個人や機関に影響を与える展開に光を当てています。

Image

翻訳元: https://cyberwarriorsmiddleeast.com/rising-threat-dual-channel-attacks-revolutionize-business-email-compromise-in-2026/

ソース: cyberwarriorsmiddleeast.com
#BEC攻撃 #サイバー詐欺 #ソーシャルエンジニアリング #データセキュリティ #デュアルチャネル攻撃 #ビジネスメール詐欺 #メール詐欺 #組織防御 #詐欺対策 #金融犯罪

関連記事

Fortinet管理者による「修正済み」FortiOS 7.4.9ファームウェアでの活発な悪用報告

サイバー攻撃でイタリア最大の大学ラ・サピエンツァが停止

スペイン科学省へのサイバー攻撃によりITが一部停止