組織内の関係者や取引先からの連絡だと偽って金銭の奪取に至る「ビジネスメール詐欺」は古典的なサイバー攻撃の一種だ。これまでは職人芸に頼った攻撃が多かったが、Microsoftによれば状況は悪い方向に変化しているという。
Microsoftは2023年5月19日、ビジネスメール詐欺(BEC)にあらためて警告を発した(注1)。BEC攻撃が増加し、以前よりも高度化しているためだ。防御側の検出を逃れるために攻撃者が戦術を変えてきた。
攻撃側はBECをどのように進化させたのだろうか。
答えは産業レベルのキャンペーンに拡大できる攻撃プラットフォームの利用だ。「BulletProftLink」などの高度なプラットフォームを利用するようになった。
攻撃グループは住宅用のIPアドレスを利用し、攻撃があたかもその場で起きたように見せかける。攻撃の発信元を隠すことで、疑わしい活動を検出するために設計された「不可解な場所の移動」を警告する防衛戦術を回避してしまう。
このような戦術の変更は、2022年以降にBECが急増する中で見つかった。FBI(連邦捜査局)は2022年にBECに関する2万1830件以上の申し立てがあったことを報告しており(注2)、調整後の損失額は27億ドル以上に達した。
Microsoftのデジタル犯罪対策部門(DCU)のデータによると、2019年から2022年にかけてビジネスメールを対象としたサイバー犯罪は38%増加した。
Microsoftのピーター・アナマン氏(DCUの主任研究員)は次のように述べた。「最近のBECの増加はサイバー犯罪の産業化に起因するものであり、その結果、犯罪者の参入障壁が低くなった」
BECの脅威は「as a Service」モデルを用いた仕組みがサイバー犯罪をどのように変えたかという実例になっている。犯罪グループは支払いをする意志がある犯罪者に対してサービスを提供するのだ。
アナマン氏によると、BECに特化したCaaS(Cybercrime as a Service、サイバー犯罪サービス)プラットフォームはフィッシング攻撃を仕掛けるためのエンドツーエンドのサービスを提供するという。BEC用のテンプレートやホスティングサービス、各種の自動サービスなどがサービスに含まれている。
攻撃者は「Evil Proxy」「Naked Pages」「Caffeine」などのサービスを利用して、フィッシングキャンペーンの立ち上げを支援している。中でもBulletProftLinkは公開型のブロックチェーンノードを使用した分散型のゲートウェイ設計を用いて(注3)、より分散した運用を実現しているため、攻撃を止めさせることが難しい。
BECは不特定多数ではなく、財務情報や従業員の記録に対する特権的なアクセス権を持つ財務マネージャーや人事担当者などの上級幹部を対象としていることが多い。これらの幹部は税務明細書や社会保障番号、その他の個人情報をはじめとした従業員の情報にアクセスできる可能性があるからだ。
読者がこのようなアクセスが可能な役職に就いているのであれば、BECにさらされることを念頭に置いて行動しなければならないだろう。そこでMicrosoftが提案する次の4つの戦術が役立つ。
・安全なメールソリューションを使用する
メール用クラウドプラットフォームには、ML(機械学習)などのAI(人工知能)機能を使って防御を強化し、高度なフィッシングからの保護や不審な転送の検出が可能なものがある。メールや生産性向上のためのクラウドアプリケーションには、継続的な自動ソフトウェアアップデートやセキュリティポリシーの一元管理といった利点もある。
・横移動を防ぐためにアイデンティティーを保護する
アイデンティティー(ID)の保護は、BEC対策の重要な柱だ。ゼロトラストと自動化されたIDガバナンスを用いて、アプリケーションやデータへのアクセスを制御できる。こうすることで特権IDを奪取されて組織内部に攻撃が広がっていくことを防止できる
・安全な決済プラットフォームを採用する
メールで請求書を受け取るのではなく、決済を認証するために特別に設計されたシステムへの切り替えを検討する
・警告サインを発見するために従業員を訓練する
ドメインとメールアドレスの不一致など、詐欺メールやその他の悪意のあるメールを見分けるための従業員教育を継続的に行い、BECが万一「成功」してしまった際のリスクとコストを把握する。
BEC攻撃はシステムである程度防ぐことができるが、基本的には人の油断に付け込む攻撃だ。「オレオレ詐欺」と似たところがあり、役割を分担した人物をそろえて被害者を囲い込むことがある。不自然な電話やテキストメッセージ、メール、ソーシャルメディアの書き込みがあった場合は、関係者だと名乗っている人物ではなく、本当の関係者に直接確認することをお勧めする。
出典:BEC attacks rise as criminal hackers employ new tactics to evade detection(Cybersecurity Dive)
注1:Shifting tactics fuel surge in business email compromise(security-insider)
注2:2022 INTERNET CRIME REPORT(ic3.gov)
注3:Catching the big fish: Analyzing a large-scale phishing-as-a-service operation(Microsoft)
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。