ブログ(製品・サービス関連)

ビジネスEメール詐欺(BEC):新たな戦術

モバイル・メッセージング・アプリやソーシャル・メディアが急激に普及したこの10年間で、コミュニケーション方法は一変しました。しかしビジネスの場では、依然としてEメールが主なコミュニケーション手段であり続けています。Eメールの利用もまた、人の生活に合わせて進化しています1。その利用方法も、パスワードの再設定から配達物の追跡に至るまで、人とブランド、サービスとのつながりを広げています。そしてサイバー犯罪者もまた、この変化に合わせて攻撃手法を変化させているのです。

Eメールをきっかけとした攻撃は目まぐるしい速度で進化しています。ランサムウェア攻撃、BEC(ビジネスEメール詐欺)などの高度ななりすまし、CEO詐欺、およびターゲットを絞ったフィッシングキャンペーンなどはその一例にすぎません。

攻撃者は、標的となる受信者にEメールを送り、なんとかしてリンクや添付ファイルをクリックさせようと策を講じています。もし受信者が騙されれば、金銭的被害や情報漏えいなどの被害が生じます。

FireEyeの最近の「Eメール脅威レポート」によれば、2019年第1四半期、なりすまし攻撃、CEO詐欺、ビジネスEメール詐欺の被害は確実に広がっており、この増加傾向は2019年第2四半期まで継続すると予想されています。攻撃者は、経営者や上司、取引先の関係者などになりすまし、標的とされた社員に不正送金や機密情報の提供を促します。このようななりすまし攻撃の被害は、会社の評判を貶めるだけでなく、莫大な金銭的損害を引き起こす恐れもあるのです。

Figure 1: Impersonation attack attempts trend upward in Q1 2019.

図1:2019年第1四半期、増加傾向にあるなりすまし攻撃

なりすまし攻撃と同様、フィッシング攻撃も増加傾向にあります。2019年第1四半期では前四半期と比較し、17%増加したことがわかっています。

Figure 2: Most common brands2 detected in phishing attacks, Q1 2019.

図2:フィッシング攻撃で利用された有名なブランド名2(2019年Q1)

Microsoft Office 365の普及に伴い、Microsoft Officeの一部であるOneDriveや、Office 365が攻撃対象とされるようになりました。多くの場合、その目的は認証情報の収集によるアカウントの乗っ取りです。

社員のアカウントが乗っ取られれば、正規の権限で、また信頼できるEメールアドレスを用いて、以下のような不正行為がなされる可能性があります:

  • 社内へマルウェアをばらまく
  • 高度な権限を入手しつつ、スピアフィッシングを図る
  • ビジネスEメール詐欺
  • 標的となる顧客やパートナーの絞り込み
  • 偵察活動
  • VPNやクラウドなどのサービスを用いて侵入を進める

注意力に欠けるユーザーなら、それがフィッシング・メールであることに気が付かず、会社のサポートチームから送られてきた、アカウント情報を尋ねる正規のメールであると信じてしまうかもしれません。送信者アドレスからロゴを含めた見た目までそっくりに偽装されているため、パスワードや機密情報を渡してしまう可能性は十分あります。Office 365、Dropbox、Slack などの クラウド・サービスは、ハッカーにとって格好の標的です。一度アカウントへのアクセス権を得れば、彼らはネットワークに根を張り、組織内でのアクセス権限を広げていきます。

図3、4に一般的なフィッシング攻撃の例を示します。

Figure 3: Example email-based attack with Office 365 branding.

図3:Office 365ブランドを悪用した攻撃の例

Figure 4: FireEye Email Security URL screenshot of Microsoft Office 365 landing page.

図4:FireEye Eメール・セキュリティ上で見られたMicrosoft Office 365ランディング・ページのURLスクリーンショット

攻撃に使用される戦術と可視化の重要性

Eメール・セキュリティの重要性と、フィッシングが攻撃者にとっての主なる攻撃手法の一つであるということは周知の事実です。しかし、Eメール本文中に記載されたURLは、セキュリティ・チェックから見落とされがちです。また、仮にURLをチェックする仕組みがあったとしても、Eメール文章内に埋め込まれた悪意のあるURLを検出できるEメール・セキュリティ・ソリューションは少なく、さらに、検知された段階では問題なかったURLが、後に有害化することもありえます。例えば、特定のURLが、営業時間外には問題のない空白ページに飛ばされ、社員がクリックする可能性のある営業時間内だけ、有害なサイトに飛ばすような設定がなされている可能性もあります。

FireEyeの「Eメール・セキュリティ - Server エディション」は、シグネチャ検知や機械学習などのプラグインを統合し、URLを悪用したフィッシング攻撃を検知します。本ソリューションにより、IT管理者は、Eメールに埋め込まれたURLによって参照されるWebページを常に可視化、検証することができるようになります。

FireEye PhishVisionは、ディープラーニングを使用し、フィッシングの標的にされやすい有名なサイトのスクリーンショットと、Eメール内のURLによって参照されるサイトやログイン画面のスクリーンショットとを比較して、不正なものかどうかを判断します。この方法は、フィッシングの検知率を上げるだけでなく、標的となりやすいブランドのアイデンティティ意識を高めることにも繋がります。

Figure 5: Office Web Access Login URL.

図5:Office Web Access Login URL

Figure 6: Example OneDrive Phishing URL.

図6:OneDriveフィッシングURLの例

URLスクリーンショット機能は、フィッシングURLが受信者に対してどのように表示されるかを見せる機能です。この機能は、不正なランディング・ページが如何に巧妙に作られているものであるかを理解するのにも役立ちますし、レポーティングやトレーニング目的にも活用できます。

認証情報の収集を分析することで、リスクの軽減に繋がります。また、他の技術と相関させ、組織に何らかの影響があったかどうかを検証するためにも立ちます。検知から対応までの時間を短縮することによって、被害を抑え、最終的には将来の脅威の防止にも繋がります。

Figure 7: Overview of grouped alerts for admins to quickly analyze.

図7:アラートのグループ化により、管理者の対応を迅速化

遡及的検知によるアラートなどをドリルダウンしたり、アラートを特定のタイプごとにソートしたりすることもできます。遡及的アラートや、過去に検知されなかった脅威など(図7)をレビューしたいと考えるアナリストは多く存在するでしょう。

FireEyeは、アラートの深刻度に応じて優先順位付けを行います。これは、攻撃の戦術、技術、手順(TTP) 、およびエンドポイントやネットワークのふるまい分析などに対するフォレンジック分析に基づき実現するものです。

この情報を使用して、対応の自動化や、受信後に有害化するURLを持つスピアフィッシング・メールなどを遡及的に検知し、自動的に隔離します。アラートから修復までの時間は、他のソリューションでは2時間以上かかるのに対し、FireEye ではおおよそ4分ほどで済みます3。迅速な対応により、セキュリティ運用の効率化と、セキュリティ・インシデントが企業に及ぼす影響も軽減することができます。

推奨事項

Eメールの使われ方も、Eメールを用いた攻撃も変化を続けており、組織にとって大きな脅威となっています。優れたEメール・セキュリティ・ソリューションの導入により、侵害リスクを軽減することはIT管理者にとって急務です。考慮するべきポイントは以下のとおりです:

  • 多要素認証の導入 - 多要素認証は、仮に認証情報が盗まれたとしても、第二の認証プロセスが実行されるため、攻撃をブロックすることが可能になります
  • ユーザーに対して、意識を高めるためのトレーニングを実施 - ブロックした実際の脅威の参照
  • FireEye Eメール・セキュリティ(Cloud エディション、Server エディション)などの優れたEメール・ゲートウェイ技術を導入
  • Active Directory や Office 365 への不正なログインや不正な活動を可視化

 

[1] Why Email Remains The Top Enterprise Collaboration Tool, by David Roe – CMS Wire.

[2] Generic and spam phishing emails do not feature a brand.

[3] FireEye White Paper – The Uncomfortable Cyber Security Tradeoff: The Total Cost Of Handling Too Many Alerts Versus Managing Risk

 

本ブログは、米FireEyeが公開した「The Rise of New Tactics in Business Email Compromise」(英語)の日本語抄訳版です。

日本語版:Reviewed by Noriko Yokokawa