ブログ(トレンド&インサイト)

Eメール・セキュリティに対する懸念事項(パート1)

セキュリティ担当者たちは常に、新たな攻撃や防御について考えていますが、中でもEメール・セキュリティは最優先事項とされる傾向があります。なぜならば、Eメールはやめることができないコミュニケーションツールである一方で、それを狙う攻撃の量も莫大だからです。そこでFireEyeは2019年の第二四半期に、お客様を招いてヒアリングを行う機会(Customer Advisory Board/CAB)を設け、Eメールの何が最も気になっているかを調査しました。結果、お客様は以下の項目を課題と捉えていることがわかりました:

  1. なりすましやBEC(business email compromise)
  2. Eメール・アカウントの侵害。買掛金部門から送金させるために侵害したアカウントを利用すること
  3. 信頼できる第三者であるかのように装うフィッシング・メール
  4. 受信したEメールがフィッシング・メールかどうか判断できない
  5. モバイル端末に送られてきたフィッシング・メールを見抜くユーザーの能力

本ブログシリーズは2部構成で、各問題点について説明し、また対処方法を提案していきます。では、はじめの2つの課題から始めましょう。

Eメールを狙う攻撃は今後も継続

今日、ビジネスはEメールなしに成り立ちません。Eメールは非常に便利であり、また、ほとんどの企業にとって主要なコミュニケーション手段です。

攻撃者はこの状況をよく理解し、悪用します。すべての侵害の90%以上はEメールをきっかけとしたものだと言われています。実際、Eメールの100通に1通は、攻撃目的のものです。一見大したことのない数のように思えるかもしれませんが、世界中で毎日何十億通ものEメールが送信されることを考えると、ことの重大さがわかるでしょう。攻撃者にとっては、たった1通の攻撃メールさえ成功すればいいわけですが、狙われる企業や組織にしてみれば、そのたった1通が財務状況を悪化させ、ニュースに晒される原因となるのです。

なりすまし攻撃

ビジネスEメール侵害(BEC)やCEO詐欺などのなりすまし攻撃は、サイバー犯罪者たちが好んで使う手段で、ターゲットに不正な送金をさせたり、機密情報を送付させたりするものです。きっかけとなるEメールは、一見、よく知る信頼できる人から送られてきた、受信者を焦らせるような内容になっています。また、テキストベースであるため通常のトラフィックと変わらないため、受信者やセキュリティ対策ソリューションによる検知を難しくしています。例えば、上役や取引先などになりすますことで社員を騙し、不正送金の承認をさせるのです。

冒頭に触れたCABにおいて参加企業の皆さんは、なりすましがEメールを使ったものだからこそ問題であると指摘しています。なりすまし攻撃は、経済的打撃だけでなく、経営者から一社員に至るまで、すべての従業員のやる気を削ぐ結果を招きます。CABミーティングでは、各参加者が実際に受信したなりすまし攻撃メールのサンプルを共有しあっていました。ある参加者は、CEO詐欺やBEC, サプライチェーンを悪用したEメール攻撃などの一連のなりすまし攻撃に対する対策をトップ・プライオリティに挙げ、その理由を、投資シミュレーションにおけるプライオリティ付けメソッドにおける最重要分野であるからだ、としています。

なりすまし技術は非常に多様化しつつあります。また、攻撃者はセキュリティ対策を出し抜こうと画策しています。先日FireEyeが発表した2019年第1四半期Eメール脅威レポートでは、なりすまし技術の新たな手法について説明していますが、給与支払部門宛のCEO詐欺Eメール(図1)はその一例です。この「亜種」では、攻撃者が経営幹部になりすまし、振込口座変更手続きに必要な用紙を送るよう、給与支払部門に請求しています。


図1:給与支払部門宛のCEO詐欺Eメール

もう一つの亜種は、サプライチェーンへのなりすましです。この方法では、攻撃者が信頼関係のある取引先を侵害し(あるいは取引先になりすまし)、ターゲットとなる組織の社員と日常的にコミュニケーションして信用させ、情報へのアクセス権を得たり、金銭を盗んだりします。

ここで使われる攻撃メールは「マルウェア」を用いたものではなく、表示される送信者名やヘッダを偽装するものです。従来型のEメール・セキュリティ対策は添付ファイルやURLをチェックするものなので、この手の攻撃に無力です。すでに何らかのEメール/セキュリティ対策を導入済みであり、その対策がこの手の攻撃の検知能力を持たない場合、その企業組織は検知漏れに気が付かない恐れがあります。仮に今現在なりすまし攻撃を受けていないとしても、取締役レベルの幹部がこの攻撃の被害のニュースを目にし、「当社は対策できているのか?」と聞いてくるのも時間の問題でしょう。

Eメールアカウント侵害

サイバー犯罪者は、ターゲットを騙して言いなりにするための方法を模索し続けています。なりすまし攻撃の特徴の一つに、表示される送信者名の偽装がありますが、これだけで判断するのは危険です。例えば実際にユーザーのEメールアカウントが侵害されたら?この時「攻撃されているかもしれない」という不安は「確実に攻撃されている」という危機感へと変わるはずです。

FireEyeのお客様も、Eメールアカウント侵害を大きな懸念事項として取り上げています。特に、攻撃者が社員へ「ログイン情報の共有」を促す行為が問題となります。例えば、URLが記載されており、そこにアクセスすると、一見全く問題のないログインページに見えるものの、実際にはフィッシングサイトである、といったようなEメール攻撃がこれに当たります。

一度攻撃者が正規のアカウントおよびEメールアドレスを入手してしまうと、その他のさまざまな不正活動に悪用される恐れがあります。正規アカウントを乗っ取った攻撃者の次の行動としてよくみられるのは、支払部門に対して送金(電子送金)を促すEメールの送信です。

対策

電子送金の普及に伴い、特定の金額以上の送金が発生する場合、2人以上の承認が必要になるよう設定変更をする組織が増えています。また、給与支払い変更を含む、社員の個人情報変更依頼があった場合の確認手段を設けておくことを勧めます。さらに、定期的なセキュリティ/トレーニングを行うことで、なりすましやEメールアカウント侵害などを始めとする最新のEメール攻撃についての意識を高めるのも良いでしょう。

本ブログ冒頭部で取り上げたリストが示すように、お客様たちはフィッシングにまつわる懸念事項をいくつか抱えています。今回は特になりすまし攻撃とEメールアカウント侵害にフォーカスを当てましたが、次回もEメールを用いたよくある攻撃について説明していきますので、ご期待ください。