テクノロジー
製品
業界
ニュース
リソース
会社
日本語
テクノロジー
製品
業界
ニュース
ブログ
リソース
会社

DarktraceによるEメール脅威の発見:役員になりすました攻撃がGmailアカウントを狙う

Mariana Pereira, Director of Email Security Products

Eメールやその他のコミュニケーションプラットフォームは信頼を前提としていますが、パンデミック下においてコミュニケーションプラットフォームの重要性が高まる中、この前提にこれまでにない厳しい目が向けられています。従業員が彼らの受信箱に毎日届く依頼と情報の「発信元」を信頼しているという事実に、Eメールの有効性自体が依存しているのです。これは特に、Eメールが知っている相手からの場合、頻繁にやりとりする相手でなくとも、たとえば信頼するサプライヤー、アドバイザー、パートナーまたはエグゼクティブから来たものである場合に当てはまります。

なりすまし攻撃が非常に危険なのはこうした理由によるものです。そしてその成功率から当然、サイバー犯罪者達にますます利用されるようになっています。Darktraceは最近、金融サービス企業の上層部を標的とした3件の関連したEメール攻撃を観測しました。それぞれ個別のEメールアカウントから、CEO、CFO、および役員会メンバーになりすまして送信されたものでした。

役員会メンバーが、その企業の外部のEメールアドレスからメールを送信することは珍しくありません。出資者であればその会社のアカウントまたは個人のEメールアカウントの使用を選択することもあります。多くの組織は役員会や取締役の略歴などをウェブサイトで公開しており、これには彼らが関わっている他の活動への言及も含まれていることがあります。これは攻撃を行おうとする者に対してコンテキスト上有用な情報を簡単に与えていることになります。このような理由から、なりすまし攻撃は高度にカスタマイズされたものであると同時に、きわめて効果的です。

防御をすり抜けたフィッシング攻撃

この攻撃はAntigena Emailを使用している顧客のGmail環境で検知されました。1週間の間に3通の悪意あるEメールが、既存のEメールセキュリティツールをすり抜け、3人の上級スタッフメンバーから機密情報を聞き出そうとしていました。3通のメールはそれぞれ別の日、別の時間に、別のアドレスから送信されましたが、ASNアドレスによりこれら3通はすべて同じ発信元からのものであると見られました。このことは、これら3通のEメールが同じ攻撃者から、何人かの主要な人物に成りすまして企業情報にアクセスしようとしていたことを示しています。

図1:同じ週内に特定された3件の異常な電子メールの概要

最も新しいEメールについて、Antigena Emailの脅威分析を見てみましょう。このメールは役員会メンバーを偽装した標的型スプーフィングまたは勧誘型攻撃で、財務部の上位の役職者を標的としていました。

86%という特異スコアから、Antigena EmailがこのEメールを著しく特異であると理解していたことがわかります。タグは主な検知結果をまとめたものです。このメールには勧誘型攻撃の兆候があるものの、興味深いことに添付ファイルやリンクは含まれていませんでした。これはアクセスおよび拒否リスト、既知の攻撃、ルール、シグネチャなどを使用してEメール攻撃を発見および阻止しようとする従来型のツールをすり抜けるために攻撃者がよく使う方法です。これらのツールがフラグを立てるための悪意あるリンクが含まれていないため、こうした攻撃は従来型のセキュリティソリューションを簡単にすり抜けることができるのです。

86%
Fri Jul 03 2020, 17:24:05
From:David Smith <[email protected]>
Recipient:Vanessa Milanez <[email protected]>
[no subject]
Email Tags
Solicitation
No Association
Freemail
New Contact
Actions on Email
Move to Junk

図2:攻撃メールの1つに関連付けられたEメールタグおよびアクション

わずかなステルス型脅威をAIでキャッチ

これは明らかに、念入りに計画された攻撃でした。異なる送信者、別々のEメール、メッセージ送信時間に間が空いていることなど、じっくりと時間をかけて攻撃していることがわかります。「下手な鉄砲」的アプローチで数千通のEメールを送り付け、1人か2人のユーザーが引っかかるのを祈るのではなく、彼らは時間をかけてこの組織をリサーチし、相手によく合わせて丁寧に書かれたメッセージを作成し、足掛かりを得ようとしたのです。

この攻撃者は、一部の役員だけを標的としたこのスローなステルス戦略によって大きな報酬があると信じていたものと思われます。そしてDarktraceの自己学習型EメールセキュリティテクノロジーがあらゆるEメールをリアルタイムに分析していなければ、このアプローチは成功していたかもしれないのです。

事実、入念な調査に基づいて注意深く作成されたこれらのEメールは、セキュリティチームが従来型ツールのみで特定するのはほとんど不可能だったはずです。幸い、社内のあらゆる従業員の正常なコミュニケーションおよび振る舞いのパターンを学習できるCyber AIをEメール環境にも適用することで、Eメール通信のノイズに紛れてしまうことの多いこの種のステルス型攻撃を検知し防止することができます。

その他13件のEメール攻撃の分析結果については Eメールセキュリティ脅威レポート2020を参照してください

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.