博客
电子邮件和云威胁
联邦调查局インターネット犯罪報告書:2020年に最大の金銭的損失をもたらしたのはメール詐欺
BEC和EAC

联邦调查局インターネット犯罪報告書:2020年に最大の金銭的損失をもたらしたのはメール詐欺

莎拉锅

ビジネスメール詐欺(BEC)およびEメールアカウント侵害(EAC)による被害額は18億ドルを超え,昨年報告された企業および消費者の被害額の44%を占めています。

联邦调查局のインターネット犯罪苦情処理センターは(IC3), 2020年に世界の組織に影響を与えた攻撃と,報告された苦情に関連する金銭的損失について詳述したインターネット犯罪報告書(网络犯罪报告)を発表しました。

この報告書によると,サイバー犯罪の被害者から報告された苦情は791790件,年間の損失総額は42億ドルで,2019年に向けて苦情件数は30多万件以上(増69.4%),損失報告額は7億ドル(増20%)増加しています。それでは,今年の報告書の中からポイントを見てみましょう。

ビジネスメール詐欺(BEC:业务电子邮件妥协)

ランサムウェアが引き続きサイバー犯罪関連記事の見出しを独占している一方で,ビジネスメール詐欺(BEC)およびEメールアカウント侵害(EAC)とフィッシングが主要な脅威として挙げられました。その中で,ビジネスメール詐欺(BEC)は“2020年のホットトピック”の2つのうちの1つとして取り上げられました。ビジネスメール詐欺(BEC)およびEメールアカウント侵害(EAC)に起因する金銭的損失はランサムウェアの64倍であり,これらのBEC / EAC詐欺は2020年の全損失の44%を占めています。しかしBEC / EAC攻撃に関する苦情は思ったほど多くなく,苦情全体の2.4%にとどまっています。今回の報告書の統計から,いくつかのことが確認できました。

  1. 一般的なフィッシング脅威とは異なり,BEC / EAC詐欺は高度に標的が選定されている
  2. BEC / EACの脅威は量は少ないが,攻撃を受けると莫大な金額の損失をもたらす
联邦调查局インターネット犯罪報告書:BECビジネスメール詐欺

联邦调查局はBEC / EACの犯罪スキームが進化していることを警告しています。BEC / EACのスキームは,経営幹部などのCレベルのEメールアカウントになりすましたり,ハッキングしたりして,不正な場所への送金を要求するものから,ベンダーのEメールを侵害して,大量のギフトカードを要求する不正なものまで様々です。

これは,プルーフポイントが観測した結果と一致しています。攻撃者は,サプライチェーンやパートナーのエコシステムを,標的となる組織に間接的な攻撃を仕掛けるための,もう一つの脅威のベクトルに変えています。偽装されたり情報が漏えいしたベンダーは組織にとって大きなリスクとなっていますが,ほとんどの組織では,どのベンダーがリスクとなっているかを可視化できていません。さらに,サプライヤーの請求書詐欺,并购詐欺,貨物輸送に関する詐欺など,BEC / EACの亜種も増えています。様々なタイプの詐欺の中でも,サプライチェーン詐欺が最大の損失を占めることが多いです。

新型コロナウイルスを悪用する詐欺

2020年は,新型コロナウイルスのパンデミックにより,他に類を見ない年となりました。联邦调查局のインターネット犯罪(IC3)レポートでは,詐欺師がパンデミックを利用して企業と個人の両方を標的にしたことが指摘されています。また,プルーフポイントでは,パンデミックが始まって以来,BEC,クレデンシャル・フィッシング,マルウェア,スパムメールキャンペーンにつながる大規模なソーシャル・エンジニアリング攻撃にコロナウイルスのテーマが使用されていることを確認しています。また,ここ数カ月の間に,プルーフポイントのリサーチャーは,COVID-19の救済策,ワクチン,亜種のニュースを利用した攻撃をより多く観測しました。この医療危機の間,攻撃者は時事問題をテーマにしたウイルスを使い続けると予想されます。

フィッシング脅威は以前として最大の脅威

联邦调查局に報告された苦情の3分の1近くがフィッシングでした。この種の脅威に対して提出された苦情の数は,2019年から2倍以上に増加しており,126640件の苦情が報告されました。これは,攻撃者が組織のインフラの脆弱性ではなく,人間を標的にしていることを示す明確な証拠です。攻撃者は,人間の本性を食い物にして,ターゲットを誘い出したり脅したりして,自分のために望ましい行動を取らせることを続けています。

FBI网络犯罪(IC3)报告统计-钓鱼为头号威胁

増え続けるランサムウェア

联邦调查局のインターネット犯罪IC3レポートによると,ランサムウェアのインシデント数は引き続き増加しており,2020年には2474件のインシデントが報告され,損失額は2900年万ドルを超えました。同報告書では,ランサムウェアの最も一般的な感染手段の一つとして,電子メールによるフィッシングキャンペーンを挙げています。興味深いことに,この報告書では,ランサムウェアの被害額が”実際の額よりも低くでている”と強調されています。これは,この数字には,失われたビジネス,時間,賃金,ファイル,機器などの推定値が含まれていないためです。また,この数字は,联邦调查局のフィールドオフィスに直接報告されたものでもありません。したがって,ランサムウェアの被害件数とそれに関連する損失額は,実際にはもっと多いということになります。

2020年に報告されたすべてのサイバー犯罪のうち,被害額ではBEC / EACがリードし,被害者数ではフィッシング/ビッシング/スミッシング/ファーミングが圧倒しています。いずれの脅威も,電子メールや侵害されたクラウドアカウントに関連しており,ソーシャルエンジニアリングを用いていることです。つまり”,人“を標的としていることです。

“人”このようなを標的とした脅威に対抗するためには,企業は人を中心としたセキュリティ・アプローチをとる必要があります。プルーフポイントは,従業員を標的とした電子メールやクラウドの脅威を阻止し,従業員のリスクを可視化し,今日の高度な脅威に対する耐性を高めるためにユーザーを訓練する統合脅威保護プラットフォームによって,お客様のセキュリティ・リスクの低減を支援します。プルーフポイントのビジネスメール詐欺(BEC) / Eメールアカウント侵害(EAC)についてのソリューションはこちらをご覧ください。

订阅校正博客