昨年、サイバー犯罪者がメールベースの攻撃により、ニューハンプシャー州ピーターバラ町から230万ドルを盗みました。さらに悪いことに、損失の原因は同一犯罪者グループが仕掛けた2度の攻撃でした。つまり、ピーターバラの財務局が間違いにすぐ気づいていれば、被害は最小限に抑えられたかもしれないのです。
しかし、財務局がそれらのメッセージに疑いを抱かなかったのには理由があります。メールがフィルターをバイパスしていただけでなく、まったく正当なメールのように見えたからです。メッセージには、悪意あるメールを思わせるような文法間違いや未知の送信者、不審なリンクは ありませんでした。攻撃者はいくつかのメッセージを戦略的に配して、学区当局を装い、次に建設会社を装って、市の資金数百万ドルを自分たちの口座へ振り込ませることに成功しました。
ピーターバラの財務局は、ビジネスメール詐欺(BEC)と呼ばれる高度標的型で検出が難しい詐欺の犠牲になったのです。
BECは、悪性リンクやマルウェアに依存しないフィッシング戦術です。この攻撃は1~2通のメールから成ることが多く、そのメールで攻撃者が、既知で信頼のおける主体(サプライヤー、従業員など)になりすまして受信者を騙し、攻撃者が管理する口座へ資金を振り込ませます。
BECは標的型で、最も頻発するタイプのメール攻撃ではありませんが、被害は最大級になる可能性があります。Cloudflareがメールベースの脅威3100万件をサンプルとして調べたところ、BECは1.34%と件数は最少でしたが、被害額は推定3億5400万ドルで、1件あたり平均150万ドルの被害が出ていることがわかりました。
信頼を悪用する攻撃者の手口はますます巧妙になっており、従来のメールセキュリティではBECを効果的に防ぐことができません。企業や団体が自組織と従業員を保護するためには、事前予防的な最新戦略が必要になっているのです。たとえば、攻撃者のインフラストラクチャを事前に特定して無害化することで、BECを受ける前にブ ロックすることができます。同時に、コンテキストの分析によって、フィルターをバイパスしたメッセージや侵害された内部アカウントから送られたメッセージにフラグを立てて、警告することもできます。こうした戦略でメールセキュリティを最新化すれば、多額の被害がでる攻撃から組織を守ることができるのです。
従来のメールセキュリティ戦略はBEC攻撃への対処を想定していないため、組織は結局、脆弱なままになります。従来型のセキュリティ戦術には、次のようなものがあります。
ビルトインフィルターとセキュアメールゲートウェイ(SEG):MicrosoftやGoogleなどのプロバイダーが提供するビルトインのメールフィルターは、BECよりもスパムの識別に適しています。セキュアメールゲートウェイ(SEG)も不審メールを除去しますが、BECの識別は難しく、ビルトインメール機能とのオーバーラップもかなりあります(つまり無駄があるということです)。
メール認証:Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication Reporting and Conformance(DMARC)のレコードを設定することも、メールスプーフィングの防止に役立ちます。しかし、こうした対策は正当なアカウントから送られたメールには通用せず、BECでは送信元が正当なアカウントである場合が多いのです。
従業員が警戒:Cloudflareの調べで、ユーザーが通報するメールの92%は悪性でないことが判明しています。このように誤検知が多いと、セキュリティアラートによる疲弊が起こります。
BEC詐欺の詳細と被害はタイプによって異なりますが、信頼を悪用する点は共通しています。
エグゼクティブになりすました送信者またはドメイン:エグゼクティブを出しにして誘導するメールです。攻撃者は、エグゼクティブの名前や標的企業のドメインをスプーフィングし、次にエグゼクティブになりすまして、送金やギフトカード購入といった金融取引を行うよう従業員に指示します。
侵害された従業員アカウント:この種の内部アカウント乗っ取りはさらに高度な攻撃で、侵害した従業員アカウントを侵入口にします。攻撃者は、実際の従業員のアカウントを(通常はパスワード窃盗によって)乗っ取り、その従業員になりすまして、金融取引の完了を手助けしてくれるよう同僚(被害者)に依頼します。
ベンダーやサプライヤーを偽装:この攻撃では、サイバー犯罪者が、標的の企業や団体と既存の関係をもつサプライヤーやベンターになりすまします。スプーフィングされた送信者が外部者であるため、不用心な被害者は明らかな詐欺の兆候に気づかないかもしれません。
侵害されたベンダー・潜入されたサプライヤー:これは最も高度なBECで、実行に数か月を要する場合もあります。この攻撃では、まずサプライチェーン上のパートナーやベンダーを、1つまたは2つのメールアカウント乗っ取りによって侵害します。攻撃者は正当なメールスレッドを静かに観察し、頃合いを見計らって対話に割り込み、攻撃者が管理するアカウントへの支払いを依頼します。こうしたサプライチェーン攻撃では、被害者がその後の監査まで財務的損失に気づかないこともあります。
これらの攻撃タイプには、ソーシャルエンジニアリングや切迫感の醸成といった共通の特徴があります。攻撃者は、受信者を操って信頼させるだけでなく、不信感を抱く前にすばやく行動を起こさせます。多くの場合、受信者が依頼された業務を完了する前にフォローアップの質問をすべきでない理由を述べます。たとえば、CEOから来たと思わせる攻撃メールの場合、飛行機搭乗の直前で数時間は連絡がつかなくなるといった内容を盛り込むのです。
さらに厄介なのは、高度標的型で低量スタイルの攻撃は、データ集計に大量の攻撃を必要とするメールフィルターをバイパスすることが多いことです。脅威対策ポリシーが機能するためには、メールフィルターがこのデータを基に不審と判断すべきもの(ドメイン、IP、マルウェアなど)を「学習」する必要があります。これによって従来型のスパムメッセージは除去できますが、BEC攻撃の精巧さには太刀打ちできません。攻撃者は真新しいメールアドレスを作成したり、ドメインをスプーフィングしたり、正当なメールアカウントを乗っ取ったりできます。それらはすべて、ビルトインのメールセキュリティ機能では捕捉できない可能性が高いのです。
BEC攻撃に有効な対策として、企業は次の原則に基づいて戦略を立てるとよいでしょう。
事前予防的な防御:悪意あるメールが従業員の受信箱に届くのを待たず、予測技術によって攻撃者のインフラストラクチャ(真新しいメールアドレスや不正ドメイン)を突き止め、その送信者を事前にブロックすることができます。これにより、攻撃者のメールの検出前に従業員が関わるリスクを低減することができます。
コンテキスト分析:たとえば、事前言語処理(NLP)技術でメッセージの感情分析を行えば、「切迫感」を醸す言語のピンポイント検出に役立つかもしれません。また、コンピュータービジョン技術は、攻撃を補完することが多いフィッシングWebサイトの検出に役立つ可能性があります。その他のソリューションとしては、スレッド分析やリスク判定のための送信者プロフィール分析などがあります。スレッド分析は、既存スレッドに攻撃者が割り込んできた時に有用かもしれません。
継続的な保護:メッセージを到着次第フィルターで除去するだけでは不十分です。特に、メールの中にはどうしてもフィルターをバイパスしてしまうものがあるため、安心はできません。さらに、悪意あるメールは大掛かりな攻撃の一部である場合が多いため、受信箱レベルを超えた保護が重要になってきます。たとえば、悪意のあるメールがフィルターをすり抜け、従業員が不審なリンクをクリックしてしまっても、リンク先Webページの読み込みを分離されたリモートブラウザで行えば、従業員とそのデバイスを守ることができます。Zero Trustのような総合セキュリティ戦略を適用するには、この種の継続的保護が必要です。
マルチモードデプロイメント:メールセキュリティソリューションの中には、SEGのようにインラインでデプロイしなければならないものがあります。それはつまり、MXレコード(メールサーバーへのメール転送を指定するDNSレコード)の変更が必要だということです。この方法は、従業員の受信箱の前面に配されてすべての送受信メールを検査するため、外部メールには大変有効です。一方、APIでデプロイするソリューションはセットアップが速いのが一般的です。しかし、専らAPIに頼るやり方には攻撃を事前予防的に阻止できないという欠点があり、メールが無害化される前に従業員が対応してしまう可能性があります。マルチモードデプロイメント(もしくはインラインまたはAPIのデプロイメントをサポートするもの)が、内外の脅威や配信前・後のメッセージからチームを保護できるため最善です。
未来を見据えた対策と自動化:ハードウェア(保守にコストがかかり、老朽化する)に依存せず、インシデントレポートを自動処理し(セキュリティチームの時間を取り戻す)、脅威対策ポリシーを手作業(保護が遅くなる恐れがあり、考え得るすべての脅威に十分に対処できない)で作成する必要があまりないソリューションを探しましょう。
これらの原則に基づく最新のメールセキュリティ戦略は、BEC攻撃その他の形態のフィッシングに対し、攻撃サイクルの全段階で包括的な保護を実現し、組織のリソースやデータをより安全にします。
Cloudflareは、攻撃者のインフラストラクチャを事前予防的に特定するクラウドネイティブなメールセキュリティを提供し、BECやその他の形態のメール攻撃に対して継続的な保護を実現します。
アプリケーションや従業員のブラウジングの安全を確保し、マルウェア、フィッシング、データ損失を阻止するCloudflare Zero Trustプラットフォームの一環として、メールセキュリティをZero Trustサービスに統合することにより、メールから暗黙の信頼を取り除 いて、お客様がBECやフィッシング攻撃を阻止できるよう支援します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
BEC攻撃が増加した背景
BEC攻撃とスパムの違い
従来のメールセキュリティ戦略がBEC攻撃に効かない理由
メールセキュリティ戦略を最新化し、BECを予防する方法
Cloudflareを使った事前予防的なメールセキュリティ対策について、詳しく知りましょう。