情シス監視の“死角”を突く「デュアルチャネル攻撃」 BECの新手口と防衛策：社外ツールへ誘導する巧妙なわな

ビジネスメール詐欺（BEC）が巧妙化する中、「デュアルチャネル攻撃」が広がっている。企業の防壁を無効化するデュアルチャネル攻撃はどのような仕組みなのか。

[Alex Scroxton，TechTarget]

　セキュリティベンダーLevelBlueによると、サイバー犯罪者はビジネスメール詐欺（BEC）攻撃に対する防御を突破するための新たな手段として、「デュアルチャネル」攻撃を仕掛けている。従来のBEC攻撃は、経営幹部といった「信頼できる人」を装い、送金を指示するなど被害者をだます。それに対して、デュアルチャネル攻撃はどのような手口なのか。

社外ツールへの誘導で検知を回避するわな

併せて読みたいお薦め記事

攻撃は対岸の火事ではない

• 日経の「Slack」侵入で浮き彫りになった個人PCのリスク　取るべき対策をおさらい
• アスクル攻撃で無印良品もECサイト停止　“もらい事故”から自社を守る対策4選

　LevelBlueによると、2025年からBEC攻撃が猛威を振るっている。BEC攻撃において、サイバー犯罪者が初期の連絡で標的の携帯電話番号や個人メールアドレスを要求するケースが広がっていると同社は説明する。同社が観察したBEC攻撃の約4割がこの手口であり、給与振り込みの要求や請求書の支払いの要求を上回った。同社によると、携帯電話番号や個人メールアドレスの要求はデュアルチャネル攻撃の前兆で、対話を別のツールに移行させることを目的としている。

　2025年、LevelBlueは5000件以上のデュアルチャネル攻撃を確認した。対話の移行先としてサイバー犯罪者が狙っていたのは、携帯電話のSMS（ショートメッセージサービス）やメッセージングアプリケーション「WhatsApp」、個人メールなどだという。同社によると、移行を狙っている理由は、企業のIT部門の監視範囲外での対話を可能にすることだ。「企業外」に対話が移れば、企業が講じているセキュリティ対策をサイバー犯罪者が迂回（うかい）できるというわけだ。

　デュアルチャネル攻撃と関連して、LevelBlueは「コールバックフィッシング」攻撃の増加も観察した。これは、サイバー犯罪者が標的に対し、悪意のある電話番号に連絡するよう促す手口だ。コールバックフィッシングは、経営幹部の「権威ある立場」と緊急性を悪用して標的が指示を真剣に受け取る傾向を悪用する。

狙われているのは、誰？

　LevelBlueによると、従来型BEC攻撃においても新たな傾向がある。一つは、長文メールの広がりだ。BEC攻撃のメールはもともと比較的簡潔だったが、最近はより長くなり、文章が巧みに作られたメールの拡大があると同社は説明する。LevelBlueは、「長文のメールはAI（人工知能）の力も借り、本物のメールとの区別が難しくなりつつある」と述べる。

　他には、複数のペルソナ（なりすまし人物）を使用した攻撃や、標的のメールスレッドに入ったように見せかける手口が広がっているという。LevelBlueによると、こうした攻撃手法は2021年ごろから、国家の支援を受けた攻撃者が研究者や活動家、政治家、外交官、ジャーナリストなどを標的にする際に用いられていた。しかし2025年には、金銭目的のサイバー犯罪者の間にも広がっていると同社はみている。

BEC防止策は「基本に立ち返る」こと

　BEC攻撃の手口が進化している中、企業はセキュリティを強化することが不可欠だ。特に重要なのは、従業員向けのセキュリティトレーニングを通じて、BEC攻撃に対するリスク意識を高めることだ。それに加え、IT部門はコンプライアンス（法令順守）や財務の担当者と協力し、外部に支払いする際の厳格なチェックのワークフローを確立させることも求められる。

　最後に、企業はシステム、データ記録、文書へのアクセスを制限するとともに、多要素認証（MFA）といった基本的なセキュリティ対策によって、BEC攻撃によるリスクを軽減できる。