日経のビジネス詐欺はVECだったのか？

日経の米国子会社がビジネス（メール）詐欺事件で32億円を香港に流出させた事件、非常に詐欺事件だと思うのですが、国内では続報がありません。一方海外では少し違った書き方がされている所がありましたので、そこを拾ってみます。

現在、「関連当局による調査の機密性」を維持しているため、情報は乏しいが、専門家はこの事件にはベンダー電子メール侵害（VEC）と呼ばれるBECの形であるという明白な兆候があるようだとThreatpostに語った。パーティが侵害され、そのアカウントが攻撃に使用されます。

「このタイプの攻撃（VEC）はBECアクターの間で増加しており、検出が非常に困難です」と、Agariの上級脅威研究者であるRonnie TokazowskiはThreatpostに語りました。「私たちが観察した多くの場合、アクターは資格情報フィッシングを介してベンダーのサードパーティアカウントの受信トレイを侵害し、資格情報を取得すると、アカウントへのログインを試みます。」

Tokazowskiは、攻撃者が最初にベンダーに危害を加えることに成功した場合、通常2つの経路のうちの1つをたどる、と言いました。

最初の攻撃パスでは、ベンダーの電子メールに電子メール転送ルールを設定して、攻撃者が電子メールを監視し、悪性の管理下にあるアカウントにリンクされた新しい銀行情報を含む更新された請求書を送信する機会を探します。俳優。2番目のタイプのVEC攻撃では、攻撃者は自分のアカウントではなく、侵害されたアカウントから「更新された請求書」を送信し、受信者に100％正当であるように見せます。

（Threatpost記事より引用）※機械翻訳

◆キタきつねの所感

日経の発表を読むと、本社経営幹部と米国子会社の社員間のやり取りで、第三者による虚偽の指示（ビジネス詐欺）があって、約32億円を送金してしまった・・・と読み取れるのですが、海外のセキュリティ専門家は違った見方（ベンダーの電子メール侵害＝VEC）をする方もいる様です。

foxsecurity.hatenablog.com

ベンダー（正規の送金先）を偽っての指示だとすれば、日経本社は何のために関わったのだろうか？という部分については、記事にも情報が無いので、私はVECだったのかという部分には疑問（私はBECだったのかと想像しています）なのです。

余談ですが、BECは聞き覚えがあったのですが、VECは聞いたことが無い単語だったので調べてみると、サードパーティベンダーのアカウント侵害を使った詐欺（Vendor Email Compromise）の略で、ビジネスメール詐欺（BEC）の一種として整理されている様です。

別な記事を読むと、気になるBEC被害の増加が出ていました。

保険大手のAIGは、2018年に欧州、中東、およびアジア地域でのランサムウェアやデータ侵害よりもBECに対する請求を多く受けたと述べました。

上級管理職を標的とする捕鯨や、サードパーティが侵害され、そのアカウントが攻撃に使用されるベンダーメール侵害（VEC）など、BECにはさまざまなバリエーションがあります。VECでは、詐欺師は、ベンダーのサードパーティアカウントの受信ボックスを（通常はフィッシングによって）侵害し、ベンダーになりすまします。

Boyer氏によると、攻撃者は電子メールの通信を監視して、ベンダーが誰と協力しているのかを把握し、請求書がいつ送信されるかを把握します。彼らは、ルーティング情報を別の銀行と請求書のテンプレートを変更して、実際のベンダーも、PDFファイルが変更された実現しないかもしれません。または、被害者組織に直接メールを送信し、転送を開始する場合があります。

（Decipher記事より引用）※機械翻訳