メールが全て信じられなくなった 「受信トレイ攻撃」の脅威

メールを使った攻撃では、「フィッシングメール」の被害が有名だ。だが、もっと危険な攻撃がある。ユーザーの受信トレイを丸ごと乗っ取ってしまう攻撃だ。

[畑陽一郎，キーマンズネット]

　メールは他のコミュニケーション手段と比較して、自動化が進んでいる。メールクライアントソフトウェアには発信者やタイトル、内容に応じた自動振り分け機能が備わっており、自動転送や自動削除の機能もある。

　これが危ない。サイバー攻撃者はメールクライアントの「受信トレイ」を狙っている。どのような危険があるのだろうか。

受信トレイ攻撃はどれほど恐ろしいのか

　Barracuda Networksのプレブ・デブ・シン氏は2023年9月20日、同社の調査に基づいて受信トレイ攻撃の危険性を指摘した。

　攻撃者がユーザーのメールアカウントを手に入れたとしよう。これはさほど難しくない。2022年に公開された日本の個人情報の漏えい・紛失事故だけでも約600万人に及び、この10年間の累計では約1億2000万人に達しているからだ。

　メールアカウントの入手後は受信トレイの「ルール」を悪用して、重要情報を転送したり、セキュリティ警告を見えないようにしたり、ユーザーの目に触れては困るメールを分かりにくいフォルダに移動して簡単に見つからないようにしたり、上司や役員になりすましてユーザーに送金を促したりできる。

　攻撃者は受信トレイに隠れてさまざまな攻撃を繰り出すことが可能になる。つまり受信トレイが攻撃者の秘密基地に変わってしまう。

　機械学習（ML）を使用することで受信メールを検査し、疑わしいメールやメールルールを検出する機能は年々進歩している。だが攻撃者の戦略の方が上回っている。Barracuda Networksの測定によれば、悪意のあるメールのルールは全く減少していない。

悪意のあるメールルールの検出結果（提供：Barracuda Networks）

　唯一の救いは認証情報（アカウント）が侵害されていない限り、このような攻撃を実行できないということだ。逆に言えば、認証情報が侵害されてしまえば、組織のデータと資産に対する深刻な脅威になる。メールアカウントを入手してしまえばネットワーク内で比較的自由に活動できる。そのため、攻撃者を排除する早急な対応が必要だ。

　攻撃者がどのようにして自動化されたメールルールを攻撃に利用しているのか、さらに、うまくいかない防御策と効果的な防御策が何かを次に紹介しよう。

攻撃者は悪意のあるメールルールを何に使っているのか

　メールを用いた攻撃は成功率が高く、他のサイバー攻撃につながるエントリーポイントになる。Barracuda Networksの調査によると、世界中の調査対象企業の75％は、2022年に少なくとも1件のメールセキュリティ侵害に遭った。

　フィッシングや悪意のあるリンク、添付ファイルなどの単純な攻撃から、ビジネスメール詐欺（BEC）や会話の乗っ取り、アカウントの乗っ取りなどの高度なソーシャルエンジニアリングまで被害は多岐にわたる。最も高度なタイプの幾つかは、悪意のあるメールルールに関連している。

　悪意のあるメールルールを作る前に、攻撃者はフィッシングメールを送ったり、これまでの侵害インシデントで入手した認証情報を使用したりして、ターゲットのアカウントを侵害する。こうなるといくらでもメールルールを設定できるようになる。攻撃者の行動にはステルス性があるため、持続的なアクセスを維持できる。

情報や金銭を盗んだ後、発見を遅らせるために使う

　攻撃者は「支払い」や「請求書」「機密」などの重要性の高い、潜在的に利益をもたらすキーワードを含む全てのメールを外部のアドレスに転送するルールを設定できる。

　メールのルールを使って、そのようなメッセージをほとんど使用されていないフォルダに移動したり、メールを既読にしたり、単に削除したりして、特定の受信メールを隠すこともできる。セキュリティアラートやコマンドアンドコントロール通信（C＆C通信）、侵害されたアカウントから送信された内部スピアフィッシングメールへの応答などを隠したり、侵入者に気付かずに今まで通りアカウントを使用しているユーザーから自らの痕跡を隠したりできる。自分の受信トレイが秘密基地になっていたとしても気が付くことは難しい。

　さらに、攻撃者は被害者の活動を監視するためにメール転送ルールを作成して、被害者や被害者の組織に関する情報を収集し、さらなる悪用や作戦の一部として利用できる。

ビジネスメール詐欺に利用する

　BEC攻撃とは企業や従業員、顧客、パートナーから情報や金銭をだまし取るために、正規のユーザーから送信されたメールだと信じ込ませる攻撃だ。

　攻撃者は、最高財務責任者（CFO）など特定の人物からの受信メールを全て削除するルールを設定できる。その後攻撃者はCFOになりすまして、従業員に偽のメールを送り、攻撃者が管理する銀行口座に会社の資金を振り込ませることができる。哀れなユーザーがメールでCFOに問い合わせても、返ってくるメールは攻撃者からのものだ。

　2020年11月、連邦捜査局（FBI）は、BEC攻撃が成功する可能性を高めていることに関する通知を発表した。Webベースのメールクライアントとデスクトップのメールクライアントの間では同期が悪く、セキュリティの可視性が欠けていることをサイバー犯罪者が悪用して、メールの転送ルールを設定してしまうというものだ。

国家を標的にした攻撃にも使える

　悪意のあるメールルールは標的型攻撃にも利用されている。米国の非営利研究機関MITREは「ATT&CK framework」で、悪意のあるメール転送を「T1114.003」に分類し、この手法を使用する3つの高度持続的脅威グループ（APT）の名前を挙げた。

　サイバースパイ活動を行う国家的な脅威行為者「Kimsuky」と恐喝や妨害攻撃で知られる「Lapsus$」、知的財産や研究の窃盗に関連する国家的なグループ「Silent Librarian」だ。

　MITREは、メール隠蔽（いんぺい）ルール（T1564.008）を犯罪者が防御回避に使用できるテクニックとして分類している。APTの一つ「FIN4」は、金銭的な動機に基づいて行動しており、この隠蔽ルールを使っている。被害者のアカウントにルールを作成し、「ハッキング」「フィッシュ」「マルウェア」などの単語を含むメールを自動的に削除する。恐らく被害者を守るITチームから彼らの活動を隠すためだと思われる。

PCをクリーンインストールしても無駄

　悪意のあるルールに対抗するには通常のサイバー攻撃とは違った取り組みが必要だ。

　被害者が自分のパスワードを変更したり、多要素認証を有効にしたり、その他の厳しい条件付きアクセスポリシーを課しても訳に立たない。WebメールではPCをクリーンインストールしても、悪意のあるルールは動き続ける。直接悪意のあるルールを見つけ出して排除しなければならない。

　不審なメールルールがあった場合、攻撃の兆候だと気が付くユーザーは少ないだろう。メールアカウントが侵害されたという考えに至らないかもしれない。防御するためには複数のシグナルを利用してノイズを減らし、メール攻撃が成功しそうだということをセキュリティチームに警告する必要がある。そのような教育と仕組み作りが必要だ。攻撃者は巧妙な手口を使い、サイバー攻撃はダイナミックに進化しているため、検知と防御には多面的なアプローチが必要だ。

効果的な防御策には費用がかかる

　受信トレイに悪意のあるルールを作られた後に対応するのは遅い。既に侵害されているからだ。最も効果的な防御は予防だ。攻撃者が最初にアカウントを侵害しようとしたときに阻止することだ。

　同時に侵害されたアカウントを特定し、影響を軽減するために、効果的な検知とインシデント対応策も忘れてはならない。

　従業員の受信トレイで実行されている全てのアクションや作成されたルール、変更またはアクセスされた内容、ユーザーのログオン履歴、送信されたメールの時間と場所、コンテキストなどを完全に可視化しなければならない。

　費用はかかるものの、サードパーティーが提供するソリューションの中にはAI（人工知能）などを使ってこのような作業を自動化できるものがある。同様にXDR（Extended Detection and Response）やセキュリティオペレーションセンター（SOC）の監視サービスも役立つだろう。

【2023年10月30日午後20時50分】「PCをクリーンインストールしても」という文に「Webメールでは」という条件を追加しました。