大規模なEメール侵害につながったMimecastのミス

Dan Fein, Director of Email Security Products | 2020年10月5日月曜日

過去数年間、Eメール攻撃の量と精巧さは急激に高まり、アカウント乗っ取り件数増大の背景には、よく下調べをした、もっともらしいなりすまし攻撃が存在しています。これらの攻撃の精巧さは、2020年に特に加速しています。世界を襲ったコロナ禍によりますます多くの企業が新しい働き方を取り入れたことがEメール攻撃の温床となっているのです。

こうした脅威環境にあって、過去の攻撃に基づいて「悪い」メールの例をルールとして作成するような従来型のEメールツールはこれらの新しい巧妙な偽メールを見逃しています。

この記事では、Microsoft 365 環境でMimecastを使っていたオーストラリアのロジスティクス企業が、他のツールすべてで「良性」と判断された悪意あるEメールをDarktraceが検知したことをきっかけに、Eメールセキュリティに自動対処アプローチを取り入れた事例を紹介します。

この企業では Antigena Email をPassiveモードでインストールしてトライアル使用していました。これは積極的に介入するよう設定されていないことを意味します。しかし、Email Dashboardを見ればどのようなアクションを「とることができたか」、そして高度な脅威を阻止するために純粋にゲートウェイだけに頼った場合、どういう結果になったかがわかります。

AIがアクションをとらなかったため、攻撃者がビジネスへの侵入を進めるには1名の従業員のEメールアカウントに侵入すれば十分でした。攻撃者はいくつかの機密情報ファイルにアクセスし、従業員とクレジットカード取引の詳細情報を集め、組織内の他の人とのやりとりを開始し、さらに200通以上のEメールを送信してさらに多くの従業員アカウントを乗っ取ろうとしました。このアクティビティはDarktraceのMicrosoft 365 SaaSモジュールによりリアルタイムに検知されました。

攻撃の詳細

この企業は、彼らが信頼するパートナー企業の多くにおいてすでにアカウント乗っ取りを実行していたサイバー犯罪者から執拗な攻撃を受けていたのです。信頼関係を悪用し、攻撃者はこれらのパートナーのアカウントから、このオーストラリア企業に対して相手に合わせた何通かのEメールを送信しました。これらのメールはすべて同じ件名として、RFP for(侵入された企業の名前)を使っており、すべて認証情報を取得しようとしたものでした。

図1:乗っ取られたアカウントからの悪意あるEメールの例。赤いアイコンはAntigena Emailであれば保留にしたであろうことを示しています。

これらのEメールには悪意あるペイロードが含まれていました。それは以下のようなテキストの背後にファイルストレージ(SharePoint)へのリンクが隠されたものでした。おそらく攻撃者はメールリンク分析を回避するためにこれを行ったと思われます。Mimecastは分析用にこのリンクをリライトしましたが、悪意あるものとして識別することには失敗しました。

図2:Darktraceは背後にリンクが隠されていたテキストを特定

クリックすると、このリンクは被害者を偽のMicrosoftログインページに誘導し、認証情報を詐取します。これは本物のログインページを精巧に偽装したもので、Eメールアドレスとパスワードの組み合わせを直接攻撃者に送信し、さらなるアカウント侵害を行わせるものです。

図3:偽のMicrosoftログインページ

多数の従業員がこのEメールを読みました。しかし、そのなかの1人であるジェネラルマネージャーだけが攻撃者にEメールアカウントを乗っ取られたようでした。

100%
Thu Aug 12 2020, 07:06:34
From:Andrew Jennings <[email protected]>
Recipient:Peter Saunderson <[email protected]>
RFP for Holdings Inc
Email Tags
Suspicious Link
New Contact
Actions on Email
Move to Junk
Hold Message
Double Lock Link

図4:Antigena Emailの対話型ユーザーインターフェイス画面

悪意あるEメールを開いてから約3時間後、この企業ではそれまでに見られたことのないIPアドレスからこのアカウントに対する異常なSaaSログインが検知されました。

このIPアドレスをオープンソースで分析すると 高度な詐欺の危険性があるISP でありVPNやサーバーを匿名化していることがわかりました。攻撃者がジオフェンシングルールを回避したのはこれによるものかもしれません。

その後ほどなく、Darktraceはパスワードファイルに対して異常な共有リンクが作成されていることを検知しました。

図5:DarktraceのSaaSモジュールが異常なリンク作成を特定

Darktraceはこのファイルがその後特異なIPアドレスからアクセスされていることを明らかにしました。より詳細な分析を行うと、攻撃者は以前保護されていたリソースを公開アクセス可能にして、その直後に同じIPアドレスから公開アクセスするという手法を繰り返していることがわかりました。Darktrace AIは、攻撃者がクレジットカード取引についての情報を含むとみられるファイルや、パスワードを含む文書など、秘密と思われる情報にアクセスしていることを検知しました。

図6:DarktraceのSaaS Consoleに表示された、侵入されたアカウントでの不審なアクティビティ

攻撃の永続化

次の日、攻撃者は侵入したアカウントから引き出せるだけの機密情報をすべて取得した後、このアカウントを使って信頼される取引企業に対して悪意あるEメールをさらに送信しました。これにも、標的に合わせた偽のRFPを送って認証情報を得ようとする方法が使用されました。DarktraceのSaaSモジュールはこの異常な挙動を識別し、この攻撃者が25分間にわたって1,600通以上の標的型Eメールを送信したことをグラフィカルに表示しました。

図7:25分間に大量送信された電子メールのグラフィカル表示

最新のEメール脅威に対抗するためにAIが必要な訳

このロジスティクス企業にとって、このインシデントが危機感に目覚めるきっかけとなりました。彼らのクラウドセキュリティを管理していたMSSP(Managed Security Service Provider)はDarktraceのSaaSモジュールによって検知されたこのアカウント乗っ取りにまったく気づいていませんでした。この企業は、今日のセキュリティ課題にはフィッシングメールが受信箱に到達するのを防ぐだけではなく、アカウント乗っ取りや侵入されたアカウントから送出される悪意あるEメールも検知することができる、クラス最高のテクノロジーが必要だということに気づきました。

このインシデントをきっかけに、この企業はAntigena EmailをActiveモードで運用することにしました。これによりAntigena Emailは、あらゆるユーザーとデバイスの正常な「生活パターン」の詳細なかつコンテキストを含めた理解に基づき、受信箱から侵入しようとする最もわかりにくい標的型の脅威も阻止することができます。

この事例のようなEメールが、日々何百通も、人間だけではなく従来型のセキュリティツールをも欺いているというのが現実です。Eメールセキュリティをとりまく課題が拡大する今、現状維持では不十分であることは明らかです。ワークフォースがこれまでになく分散し、敏捷化していく中で、SaaSコラボレーションプラットフォーム全体でリモートユーザーの保護 を行うと同時に、Eメール攻撃が受信箱に到達する前に無害化する必要性が高まっています。

この脅威事例についての考察はDarktraceアナリストLiam Dermody が協力しました。

Dan Fein

Based in New York, Dan is the Director of Email Security Products. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s world-leading Cyber AI Platform and products. Dan has a particular focus on Antigena Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.