高度なEメール脅威に対するマクラーレン・レーシングの対策

チームのEメール受信箱をセキュアにすることはマクラーレン・レーシングにおいて長い間大きな課題でした。COVID-19以前から、私達のワークフォースは非常に分散していました。過去30年間、世界中のレーシングコースにおいて、1週間おきにリモートオフィスをセットアップしていたも同然です。そのため、人々がきわめて高い割合でEメールを使い、また必ずしも同じ場所にいない状態に慣れていました。
パートナーや主要なサプライヤーも含め、コラボレーションがチームにとっての鍵です。データの共有は毎日行われ、さまざまな方法が使われています。これらのデータには取扱いに注意が必要な車の設計データや非公開のコースデータも含まれています。
チームを標的としたEメール攻撃はこの1〜2年でかなり高度化し、攻撃者は偽の支払い要求をしたり、知的財産にアクセスしようとしたりしていました。ソーシャルエンジニアリング攻撃がますます巧妙化するということは、こうした事態を防ぐためにさまざまなツールや手順を配備していても、依然として社内のユーザーはこれらのフィッシングメールやなりすましメールに引っかかるということを意味します。
昨年、当社ではDarktraceのImmune SystemをEメールシステムにも適用拡大し、現在はインテリジェントなAIセキュリティソリューションによりあらゆるMicrosoft 365ユーザの「生活パターン」を理解させ、攻撃を特定できるようになりました。Darktraceにより、セキュリティチームは従来型防御をすり抜けた攻撃に対して遡及的に対応するのではなく、最も高度なEメール脅威にも先行して対処できるようになりました。
攻撃を見つけるための従業員トレーニング
以前は脅威インテリジェンスフィードや悪意あるアドレス、ドメインおよびURLをブロックする従来型のセキュリティツールを使用していましたが、少数のフィッシングメールはどうしてもユーザーの受信箱まで到達してしまっていました。通常、これらのEメールは周到に準備し高度にコンテキスト化されたもので、受信者に合わせて作成され、場合によっては本物のメールと区別がつかないようなものでした。従業員に対して認識向上プログラムを実施しても、これらの悪意あるメールに対して一定の割合でユーザーが反応してしまい、アカウント乗っ取りや詐欺行為が発生していました。当時はセキュリティリソースがこれらのインシデントへの対応で手いっぱいとなり、マクラーレン・レーシングのセキュリティを積極的に強化する取り組みができていませんでした。
そこで多くのパートナー企業と協力して「サイバー攻撃認識向上週間」を実施し、自分達で作成した偽のフィッシング攻撃を行うことで従業員に対して攻撃をどうやって発見するかを教育しました。しかしこれらの教育プログラムは、リモートワークの割合が増えるにつれ、伝えることが難しくなっていきました。従業員の積極的な関与が常に重要であったため、セキュリティチームへのリソース負荷は大きくなりました。関係部署の責任者と協力してスプーフィングメールの特定を助けたり、ビジネスプロセスを構築するのに非常に長い時間をとられていたのです。
これは長く根気のいるプロセスであり、また、ますます巧妙化するEメール攻撃のかすかな兆候の発見を従業員に期待することは困難です。現代のEメール攻撃の高度化、それに費やされる研究、関連するソーシャルエンジニアリングのレベル、これらのことからフィッシング攻撃が人間と基本的な防御システムのどちらも突破してしまうことは避けられませんでした。
Cyber AIの活用
パートナーであるDarktraceと協力し、私達は彼らのEメールセキュリティテクノロジー、Antigena Emailを導入し、一緒にインストールと設定を行いました。そしてその効果は数日で確認できました。自動対処により、ユーザーから報告されるフィッシングメールの数は次第にそして大幅に減り、Antigena Emailのアクションを定期的にレビューすることによってそれまで気づいていなかった数多くのフィッシング攻撃を発見するに至りました。
Antigenaのアクションはビジネスのコンテキストを考慮して実行され、最後の手段としてのみメールの保留を行い(当社の環境では1%未満)、膨大な偽陽性を発生させるのではなく本当に悪意あるメールのみを捕捉しました。また、これらのアクションは的を絞り程度に見合ったもので、メールをゴミ箱に移動する、あるいは添付ファイルを変換したりリンクをロックするなどのさまざまな種類があり、私達が必要とする柔軟性がありました。
Antigena Email が継続的に学習し高度なEメール攻撃を阻止してくれたため、セキュリティチームは圧力から解放され、ビジネスの新しい取り組みをサポートしたり、新たなイノベーションへの協力などに時間を使うことができるようにありました。
執行役員を狙った標的型認証情報盗み取り攻撃を阻止
多くの組織同様、最も悪意あるメールの標的となるのは執行レベルの役員が多く、最近も当社の役員に対して送金のための書類に署名させようとするEメールをAntigena Email が検知しました。メールはDocuSignから送信されたように見え、‘Review Document’ というテキストの背後に悪意あるリンクが隠されていました。
図1:Eメールを特定したAntigena EmailのUI画面

図2:問題のEメールのスクリーンショット
この種のEメール攻撃では、リンクをクリックすると通常2つのシナリオが続きます。ユーザーが偽の(多くの場合非常にもっともらしい)ログインページに誘導されて認証情報を入力させられる、あるいは文書自体は本物に見える請求書であるが、一つの重要な要素、すなわち口座情報が変更されている、というものです。会計チームやCFOは日常的にこうした攻撃にさらされていますが、このケースでは、攻撃者達は役員の認証情報を狙っていました。
この役員がクリックしてログインを試みていれば、それとは知らずに攻撃者に対して認証情報を送ってしまい、攻撃者はこの情報を使ってEメール受信箱あるいは他のSaaSアカウントから機微な情報を収集する、あるいはこのアカウントから悪意あるメールを送信して組織内にさらに侵入していたかもしれません。
Eメールはイモラサーキットでグランプリレースが行われていた週末に送られました。これはチーム全体が高いプレッシャーに晒されていた48時間でした。というのも金曜日の練習走行を行わずに新しいフォーマットでの走行を行ったため、緊張が一段と高まっていたのです。しかし、Antigena Emailが警備を行っていたため、この送信者が新しい連絡先であることを認識しリンクを疑わしいと判断しました。Eメールに対して適切な問題認識を持ったDarktraceのAIはリンクをダブルロックし、このメールを役員のゴミ箱フォルダに移動しました。これらのことはすべて週末にオンコールで待機していたサイバーセキュリティチームを煩わせることなく行われました。
このような攻撃が日々やってくるなかで、本物と偽物の区別をマクラーレンの従業員に頼っていたのでは、あらゆる脅威から我々を現実的に保護することは不可能です。認証情報の奪取やアカウント乗っ取りが増える中で、たった1通のフィッシングメールの成功により洪水ゲートが開いてしまうのは時間の問題だと感じていました。しかしAntigena Email導入により、コース上でもコース外でも強力なAIソリューションにより守られているという安心感を得ることができました。