次のシナリオを想像してください。大手法律事務所の忙しい月曜日の朝、アソシエイト弁護士は上級パートナーから、その朝提出する必要がある法的準備書面についての意見を求める電子メールを受け取りました。その従業員はこのパートナーと話したことも、一緒に仕事をしたこともないので、この要求は奇妙です。しかし、有能で役に立つように見せたいと考えたこの従業員は、電子メールに添付されているリンクを開いて、空白の文書を表示します。彼は、自分が会社全体を脅威アクターによるビジネス電子メール攻撃に対して脆弱にしたことをほとんど知りませんでした。彼の行動は、企業データの暗号化の可能性、高額の身代金要求、そして公の職業上の当惑につながるでしょう。
現在のテクノロジーと能力の新時代において、脅威アクターは、生成人工知能 (gen AI) を含むさまざまなツールを武器に使用して、企業が導入したセキュリティ保護を突破することで利益を上げています。脅威アクターは、何らかの脆弱性を利用して侵害されたコンピュータ システムに組み込まれると、コンピュータ システム ホストのパターンと構造を学習し、多額の電信送金などの金銭的機会が発生するまで待ちます。 Gen AI やその他の最新のサイバー ツールにより、侵害の検出はますます困難になり、企業は通信詐欺、データ暗号化、ランサムウェアなどの脅威に対して脆弱になります。
BEC の現在の傾向
最近の情報によると、 ホッキョクオオカミ市場調査ビジネスメール侵害(BEC)は、企業が直面するサイバー攻撃の最も多い手法です。 BEC スキームでは、攻撃者はビジネス電子メール システムの脆弱性を利用して電子メール アカウントにアクセスし、金銭的利益を目的とした詐欺キャンペーンを作成します。これは、世界的なサイバー攻撃の最も急速に進む傾向となっています。 2023 年には組織の 70% 近くが BEC 攻撃の試みの標的となり、これらの企業のほぼ 30% が BEC の成功による被害者となりました。攻撃の数が増えるにつれ、脅威アクターは組織のセキュリティ対策を突破することにますます成功しており、必然的に経済的損害につながります。
BEC 攻撃の成功例が増加している理由の 1 つは、有用なツールとしても危険な武器としても使用できる世代 AI の台頭が大きく関係しています。世界中の組織の大部分が、日常のビジネスを支援するための Gen AI の使用に関する導入および使用ポリシーを導入しています。
脅威アクターは現在、BEC の追求を実行するための武器として gen AI を利用しています。 Gen AI は、リアルな詐欺メール、テキスト メッセージ、本物そっくりの音声、リアルなディープ フェイク ビデオを作成して、従業員をだまして銀行情報や顧客の機密データなどの機密情報を漏らすことができます。
Gen AI の現在の傾向には、音声クローン、ディープ フェイク ビデオ クローン、脅威アクターがなりすまそうとする人物のミラーリング メールが含まれます。受け取った不正なリクエストを検証するためのセキュリティ対策が講じられていたとしても、脅威アクターがビジネス サーバーにどの程度深く埋め込まれているかによっては、その時点で企業が大規模な侵害を防ぐためにできることはあまりありません。
脅威アクターが利用する非常に一般的な手法は、Gen AI の使用によって強化される強力なフィッシング キャンペーンに由来します。クラウドベースの電子メール サーバーを使用している組織では、特に無防備で過労状態の従業員の場合、フィッシングの試みを検出することが困難になります。
組織が利用可能な最も効果的なセキュリティ ツールに投資したとしても、依然として人的要素が最大の脅威です。毎日開始される BEC 攻撃により、企業のセキュリティ意識の低い従業員が組織全体を脅威アクターの侵入に対して脆弱にする可能性があります。
BEC 攻撃を軽減するために講じられる対策
多要素認証 (MFA) は、企業が BEC 攻撃のリスクを防止または軽減するために利用できる最良のツールの 1 つです。脅威アクターは、BEC キャンペーンに参加することで、ファイアウォールやマルウェア対策保護などの従来のサイバー防御を回避しようとします。組織は、今後の攻撃の発生を防ぐために、これらの攻撃を検出し、システムの脆弱性を理解するための対策を講じる必要があります。たとえ脅威アクターがビジネス サーバーへの侵入に成功したとしても、MFA を使用すると、ビジネス環境における脅威アクターの感染範囲を制限できます。
企業は、MFA などのセキュリティ ツールの使用を日常業務に組み込むことで、データ セキュリティを最優先にする必要があります。セキュリティに精通した組織では、すべての従業員が会社のテクノロジーを使用する際に MFA を使用することが義務付けられます。ほとんどの企業はセキュリティ対策として MFA を使用する機能を備えていますが、セキュリティを意識していない従業員や、追加のセキュリティ プロトコルに時間を割くことを気にしない従業員が存在するため、この義務は不可欠です。
さらに、組織はセキュリティ意識を高め、日常業務の一環として特別な予防措置を講じる必要があります。常に要因となる従業員のミスは、日常的なトレーニングを実施し、機密情報を取得する際に脅威アクターが使用する一般的な罠についての認識を高めることで軽減できる可能性があります。たとえば、従業員は電子メール送信者のアドレスを確認して正確性を確保する方法を教育され、未知の送信者からのランダムなリンクを決して開かないように訓練される必要があります。組織は、そうでないことが証明されるまで、すべての受信メールとリンクが信頼できないものであると想定するように従業員を訓練する必要があります。 BEC の請求が増加しているため、これらの措置は、機密情報や金銭の配布を要求する電話やテキスト メッセージにも適用されます。
脅威アクターは、BEC 内の脆弱な企業に侵入する際に、Gen AI による最新の進歩を利用して利益を上げています。攻撃者は、セキュリティが確保されていないビジネス サーバーに隙を見つけると、金銭的利益を得る機会を見つけるか、ランサムウェア攻撃で企業や顧客の機密データを盗むまで、辛抱強く攻撃を待ちます。各従業員がセキュリティのリスクと脆弱性について警戒していれば、サイバー犯罪との戦いはより平等な競争の場で行われます。世代 AI テクノロジーの台頭と、それが害を及ぼす目的でどのように使用されているかに伴い、従業員が機密データを取得しようとする試みに対して常に疑問を抱き、懐疑的であり続けることがこれまで以上に重要になっています。
デビッド・J・シャノン マーシャル・デネヘイのフィラデルフィア事務所で、プライバシーとデータセキュリティ、および知的財産、テクノロジー、およびメディア訴訟実務グループの議長を務めています。彼は、プライバシー法、データ侵害、知的財産、著作権および商標の侵害、ならびに企業秘密、トレードドレス技術およびメディア関連の訴訟に業務のかなりの部分を集中して取り組んでいます。彼に連絡できるのは次のとおりです (メールが保護されています)。
ジェレミー・J・ザカリアス マーシャル・デネヘイのマウント・ローレル事務所の職業責任部門の株主です。同社のプライバシーおよびデータセキュリティ実務グループのメンバーである彼は、プライバシーとデータ侵害の問題において幅広いクライアントの代理人を務めています。さらに、弁護士、会計士、保険会社、企業の取締役や役員、金融機関に対する請求が行われた場合、それらの弁護に関わる事件も扱っています。彼に連絡できるのは次のとおりです (メールが保護されています)。
