DarktraceによるEメール脅威の発見:Siemens社を装ったEメール攻撃により学術研究機関が6万ドルの被害

Dan Fein, Director of Email Security Products | 2020年7月3日金曜日

はじめに

多くの組織が攻撃によって被害を被ったことで危機感に目覚め、Eメールセキュリティを補強するためにAIを導入しています。アジア太平洋地域のとある学術研究機関でも最近こうした例がありました。この組織は当時、スパム保護、URL保護、そしてMimecastフルパッケージをEメール全体に適用しており、防御は万全であると感じていました。ただ、Cyber AIが受信箱をどう保護するのかに興味を持ったこの組織は、詳細を知るための打ち合わせを申し込みました。

この打ち合わせが予定されていた日の2日前に、この組織はBEC(ビジネスメール詐欺)攻撃に遭ったのです。攻撃者は内部のMicrosoft 365アカウントを乗っ取り、偽造した請求書を財務部に送りました。この請求書は、世界をリードする自動化技術企業の一つであるSiemens社を装っていましたが、これには編集された銀行口座情報が含まれていました。Siemens社は認定サプライヤーであったため、攻撃は成功しました。そしてこの学術研究機関は攻撃者の銀行口座とは知らずに6万ドル以上を支払ってしまいました。

このインシデントによって、この教育機関はEメールの規模と深刻さだけでなく、既存のセキュリティツールの限界にも危機感を持ちました。セキュリティチームはすばやくAntigena Emailを導入しました。そして1週間後に再度攻撃が仕掛けられると、他のツールが見逃してしまう高度な攻撃を無害化するAIの能力が即座に発揮されたのです。

この時には、AIが導入されていたために、侵害されたSaaSアカウント上の不振な挙動と疑わしいEメールアクティビティによって複数のDarktraceモデルが発動し、73%の特異度スコアに達して攻撃メールを自動的に保留する判断がなされました。以下にこの攻撃の経過と、他のセキュリティツールが識別に失敗した攻撃をDarktraceがどのように識別したかを紹介します。

患者第一号:最初の侵入

何かがおかしいと最初にDarktraceが察知したのは、UAEにある未知のIPアドレスからSaaSログインが見られたときでした。

Tue April 21 04:15:40 (現地時間)

その後、一般にBECと関連するとされる動作である、受信箱処理ルールの作成が行われました。これは、ベンダーからの受信メールが削除され、脅威アクターにリダイレクトされるようにするものでした。

Tue April 21st 05:04:21

Wed April 22nd 16:51:14

図1:Darktraceが検知した異常なメールボックス規則は97-100%特異なアクティビティであることを示しています。

この最初の侵入から高度に標的型のスピアフィッシング攻撃が始まりました。攻撃者はsiemens.comドメインからの請求書に関する、本物のEメールのやり取りを見つけました。認定サプライヤーへの信頼を使用するため、攻撃者は請求書のフォーマットをそのままコピーし、偽のドメイン‘siemesm.com’ を作成しました。これは財務部を標的として1つの重要な情報(銀行口座情報)を変更した新たな請求書を送るためでした。

攻撃者は十分注意を払っていました。この攻撃を開始する前、侵害したアカウントにテストメールを送って届くかどうかを確認していました。以下の図に示すように、これには Antigena Email が 38% の特異度スコアをつける結果となりました。

偽造された請求書

翌朝、攻撃者は新たに作成したアカウントを使って患者第一号と何通かのやり取りを行った後、財務部も含めた新たなメールを送り、今度は7万8千ドルを要求したのです。今回も、このやり取りは本物のように見えました。よく知られたサプライヤーからの請求であり、信頼する同僚が承認しているかのように見えたのです。

図2:Antigena Emailが異常なメールを検知したところ。赤の「保留」アイコンはEメールを保留し受信者に配信していないことを示しています。

上の図では、Antigena Emailがこの不審な挙動に対して次第に疑いを深めていったことがわかります。赤の「保留」アイコンはAntigena Emailがこれら2通のメールを配信しなかったことを示しています。この高い特異度スコアは、2名のEメールユーザーと以前のやり取りがなかったことだけでなく、このアカウント自体に対して前日に新しいEメールルールが作成されたことにもよるものです。さらに、Cyber AIはこのメールが偽の返信であると認識しました。つまり、メールへの直接の返信ではなく、別のメールのやりとりから内容をコピー&ペーストして複製しようとしたものだということです。

この攻撃が失敗したことに気づくと、攻撃者は「アイランドホッピング」と言われるテクニックを使って、組織全体の連絡先リストを入手し、より汎用的なフィッシング攻撃を組織内の数十人のユーザに仕掛け、アカウント認証情報を得ようとしたのです。

図3:最初に侵入されたアカウントからその後送信されたメールの一部

今度も、Antigena Emailがこれらのメールのそれぞれが100%特異であると判断して、すべてを保留にしました。

この攻撃は複数のステージを持つ比較的高度な攻撃でしたが、ここで説明したテクニックには特別なものはなにもありません。Antigena Email はこの種の攻撃を日々、世界中の数百の組織で阻止しています。

Cyber AIをEメール環境に導入することにより、内部、外部のメールの流れに対して比類のない可視性を得られるだけでなく、標的型の巧妙な攻撃を、それらが危機に発展するずっと前に阻止することができます。

Antigena Emailについて詳しく知る

Dan Fein

Based in New York, Dan is the Director of Email Security Products. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.