電子メールベースの名前なりすまし攻撃は、ビジネスメール詐欺(BEC)の進化した形態であり、電子メールが信頼できる送信元から来たように見せかけ、受信者を欺きます。Cloudflareでは、毎日お客様の受信トレイから電子メールベースの名前なりすまし攻撃を検出して削除しています。これらの大部分は従業員にギフトカードを購入するよう求めるようなレベルの低い詐欺であるものの、より巧妙な攻撃では、ソーシャルエンジニアリ ングとOSINTを活用する新しい方法を用い、ますます説得力のあるフィッシングメールを作成しています。
以下のようなフィッシングメールを見たことがある方も多いのではないでしょうか。この例では、何者かが従業員になりすまし、給与振込用の銀行情報の変更を要求しています。
画像ソース:Cloudflareメールセキュリティ
この攻撃や類似の攻撃では、標的とするユーザーの基本情報(名前や役職など)をLinkedInやその他のソーシャルメディアプラットフォームから取得して信ぴょう性を演出しています。一般的に、こうしたメールは一度に多くの異なる組織やユーザーに一斉送信されます。つまり、「ワイドネット」アプローチと言えます。
より複雑な名前のなりすまし攻撃は、VIP/Vendor Impersonation Combo(VIP/ベンダーなりすましコンボ)として知られています。この例では、攻撃者は正規のベンダーになりすまして偽ドメインを登録しています。攻撃者はまた、標的組織のVIPになりすました電子メールアドレスを作成しています。さらに、攻撃者はベン ダーと思われる人物から請求書の支払いを要求する偽の電子メールスレッドを作成しています。
画像ソース:Cloudflareメールセキュリティ
これらは、捏造されたスレッドがリクエストに権限を与えるため、特に危険です。一般的にこのような攻撃は、大量メールによる口座振り込み攻撃よりも標的が絞られています。攻撃者はターゲットの環境調査に時間をかける傾向があります。アカウントが侵害された場合、脅威行為者はターゲットの最新の電子メールを読めるようになり、要求を正当化するにあたって有利になります。このような手口を使ったさらに複雑ななりすましの例を紹介します。
画像ソース:Cloudflareメールセキュリティ
この例では、脅威行為者が正規のドメインとほぼ同じドメインを使って従業員になりすましています。さらに、送信者の電子メールアカウントを侵害することで、企業間の既存の電子メールスレッドを乗っ取りました。
これは非常に危険で標的を絞ったなりすましで、ベンダーなりすましと呼ばれます。この種の攻撃は、VIPのなりすまし、ベンダーのなりすましなど、上記のすべての手口を駆使し、侵害されたベンダーのアカウントから収集した情報を利用します。このケースでは、顧客にとって金銭的リスクが高いものでした。Cloudflareがクライアントに警告を発することで、実際の被害が発生する前に対策を講じることができます。
なりすまし攻撃の進化に伴い、これらの攻撃が組織にもたらすリスクの認識は非常に重要になります。電子メールは、依然としてビジネス上の侵害問題を引き起こす最大の要因となっています。
Cloudflare Email Securityの高度な機械学習と人工知能テクノロジーは、悪意のある行為者が旧型ソリューションを迂回するために使用する新たな手口をリアルタイムで発見します。2023年フィッシング脅威レポートで、最近の傾向とフィッシング攻撃を防ぐための推奨事項をまとめています。Cloudflare Email Securityの実例は、無料のフィッシングリスク評価をご利用いただくことでご覧いただけます。
この記事は、技術関連の意思決定者に影響を及ぼす最新 のトレンドとトピックについてお伝えするシリーズの一環です。
Adam Leverette - @adam-leverette
脅威対応エンジニア、Cloudflare
この記事では、以下のことがわかるようになります。
悪意ある行為者が合法的に見せかけなりすましを仕掛ける方法
一般的ななりすましの手口3種
従来のメールセキュリティではこの種の攻撃を区別できない理由