はじめに:BECの脅威と実務上の課題
ビジネスメール詐欺、いわゆるBEC(Business Email Compromise)は、現代の企業にとって最も警戒すべきサイバー脅威の一つです。一般的なマルウェア感染やランサムウェアと異なり、BECは高度なソーシャルエンジニアリングを駆使し、システム上の脆弱性よりも「人間」と「業務プロセス」の隙を突いてきます。攻撃者は数ヶ月にわたる調査を経て、経営層や取引先になりすまし、偽の請求書送付や不正送金指示を行います。本稿では、セキュリティ担当者が実務において導入すべき技術的対策と、組織としての防御策を詳述します。
メール認証技術の徹底導入:SPF、DKIM、DMARC
BEC対策の第一歩は、なりすましメールを技術的に排除することです。ドメイン認証技術を正しく設定することは、自社ドメインが悪用されるリスクを低減し、取引先を保護するために必須の責務です。
SPF(Sender Policy Framework)は、送信元IPアドレスを検証する仕組みですが、これ単体では不十分です。DKIM(DomainKeys Identified Mail)を併用し、電子署名によってメールの改ざんを検知する必要があります。そして、これらを統合的に管理するのがDMARC(Domain-based Message Authentication, Reporting, and Conformance)です。
実務においては、まずDMARCのポリシーを「p=none(監視のみ)」から開始し、正当なメール配送フローをすべて特定した後に「p=reject(拒否)」へ移行するロードマップを策定してください。以下に、DNSへ設定するDMARCレコードの例を示します。
例:_dmarc.yourdomain.com IN TXT “v=DMARC1; p=reject; rua=mailto:dmarc-reports@yourdomain.com; ruf=mailto:dmarc-forensics@yourdomain.com;”
この設定により、認証に失敗したメールをゲートウェイ側で自動的に破棄させることが可能となります。
メールセキュリティゲートウェイ(SEG)の役割と高度な検知
従来のスパムフィルタリングでは、BECの巧妙な文面を見抜くことは困難です。現代のメールセキュリティゲートウェイは、AIと機械学習を活用した「振る舞い検知」を搭載している必要があります。
特に、過去のメール履歴を解析し、普段のコミュニケーションパターン(トーン、署名、送信頻度)から逸脱したメールを「異常」としてフラグ立てする機能が不可欠です。また、表示名なりすまし(Display Name Spoofing)対策として、送信者の表示名と実際のメールアドレスが一致しない場合に警告を出す設定を有効化してください。
技術的対策としての「外部メール警告ラベル」の実装
組織内部のユーザーに対し、外部から届いたメールであることを視覚的に示すことは、非常に低コストで効果的な対策です。多くのクラウドメール環境(Microsoft 365やGoogle Workspace)では、トランスポートルールを用いて、外部ドメインからのメール本文冒頭に警告文を挿入する設定が可能です。
以下は、Microsoft 365におけるトランスポートルールの概念的なロジックです。
条件:送信者が組織外である場合
実行:メールの先頭に以下のHTMLを挿入する
送信元アドレスや内容に不審な点がないか十分に確認してください。機密情報の取り扱いには特に注意が必要です。
これにより、従業員は「社内の人間からの急な送金依頼」であっても、警告文を見ることで一歩立ち止まって考える習慣を身につけることができます。
MFA(多要素認証)の強制と条件付きアクセス
BECの攻撃者は、メールアカウントへの不正アクセス(アカウント乗っ取り:ATO)を試みます。パスワードのみでログインできる環境は致命的です。FIDO2などの物理セキュリティキーを用いた多要素認証(MFA)を全社員に強制してください。
また、条件付きアクセス(Conditional Access)の導入も検討すべきです。特定のIPアドレス範囲や、マネージドデバイス(会社管理端末)以外からのアクセスを制限することで、攻撃者が盗んだクレデンシャルを使用してログインするリスクを大幅に削減できます。
業務プロセスによる防御:送金フローの再設計
技術的な対策だけでは、BECを完全に防ぐことはできません。組織の業務プロセス自体に「検知の仕組み」を組み込む必要があります。
特に経理部門において以下のルールを徹底してください。
1. 送金先口座の変更依頼があった場合、必ず登録済みの電話番号(メール内の連絡先ではない)に連絡し、本人確認を行うこと。
2. 経営層からの緊急送金指示であっても、必ず上長による二段階承認(Dual Control)プロセスを通すこと。
3. 請求書のフォーマットや文言に違和感がある場合、システム上のログや過去のやり取りとの整合性を照合すること。
これらのプロセスを「マニュアル」として文書化するだけでなく、定期的なシミュレーション訓練を実施することが重要です。
インシデントレスポンス計画の策定
万が一、BECの兆候(不審な送金依頼やアカウントの異常なアクセスログ)を検知した場合に備え、迅速なインシデントレスポンス計画を策定しておく必要があります。
・被害範囲の特定:どのメールアカウントが侵害されたか、どの範囲の取引先が標的になったか。
・アカウントの隔離:侵害されたアカウントの即時パスワードリセットとセッションの無効化。
・取引先への連絡:被害が発生した可能性がある場合、速やかに取引先に注意喚起を行い、偽の請求書への対応を停止してもらう。
・法執行機関への相談:被害額が大きい場合は、警察のサイバー犯罪相談窓口へ報告を行う。
おわりに:セキュリティは文化である
BEC対策の本質は、テクノロジーとヒューマンエラー対策の融合にあります。最新のセキュリティ製品を導入するだけでなく、従業員一人ひとりが「メールの内容を無条件に信頼しない」というセキュリティ意識を持つことが、組織を強固にします。
セキュリティ担当者として、経営層を巻き込んだポリシーの策定と、現場レベルでの継続的な教育を並行して推進してください。技術的な障壁を高くしつつ、人間系でのダブルチェック体制を構築することが、最も洗練されたBEC対策です。
本ページに記載した対策を順次実装し、自社のメール環境の堅牢性を高めていきましょう。何か不明な点や、特定の環境における設定の詳細が必要な場合は、社内のITセキュリティチームまでお問い合わせください。
コメント