テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

1通のEメールが物流企業を悪夢に陥れる

Mariana Pereira, Director of Email Security Products | 2021年8月12日木曜日

組織のセキュリティのレベルはその最も弱いリンクで決まります。多くのケースにおいて、その弱いリンクは組織が利用しているさまざまなクラウドアプリケーションで発生します。APT28を含むいくつかの有名なグループはよく使われるパスワードを悪用して世界中の企業にブルートフォースで侵入することで知られています。これらの「乱射型」攻撃はしばしばMicrosoft Office 365アカウントを標的としており、SaaSの使用が増えるにつれてこれらの攻撃も増える一方です。

本ブログでは、ヨーロッパのロジスティクス企業において、1通のフィッシングEメールがゲートウェイや他の従来型ツールのレーダーをかいくぐり、結果的に大規模な侵害につながった事例を紹介します。

ロジスティクスの悪夢

ロジスティクス企業はあらゆる産業分野にわたってきわめて重要な役割を果たしています。売り手から顧客へのモノやサービスの配達を管理することにより、効率的なサプライチェーンを実現、あるいはそのボトルネックとなるのです。ロジスティクス企業はサイバー犯罪者達にとって必然的に魅力的な標的となりました。膨大な数の取引先、時間通りに配達しなければならないというプレッシャー、そして機密データをしばしば取り扱うこと、などが理由です。

攻撃者の方程式はシンプルです。良く防御された20社に侵入するために苦労するか、1社に侵入し、そこから20社あるいはもっと多くの組織へのアクセスを得るか?ということです。今年Darktraceが観測したサイバー脅威の大半は後者を選びました。防御の薄い第三者を悪用して、幅広い企業への足掛かりをつかもうというものです。

特に、ワクチンのサプライチェーンが頻繁に攻撃を受けました。昨年秋、脅威アクターはドイツのバイオメディカル企業に侵入し、フィッシング攻撃により認証情報を取得し、COVID-19コールドチェーンに関係した複数の組織を侵害しました。

ランサムウェアとならんで、フィッシングはこの業界が直面している最も深刻な問題の1つです。

チェーンを分断

ある中規模なロジスティクス企業において、1人のユーザーが、乗っ取られた第三者からのフィッシングEメールを受信しました。このEメールは、過去にEメールのやりとりの実績が豊富な信頼のおける相手先からのものであり、ゲートウェイを簡単に通過しました。

フィッシングEメールが届くと、ユーザーは悪意あるリンクをクリックして偽のログインページに誘導され、認証情報を入力させられてしまいました。

4日後、攻撃者は未知のロケーションからそのアカウントにログインし、機密情報が含まれるファイルを読み取りました。

次の日、Darktraceは別の不審なロケーションから新しいEメールルールが設定されたことを検知しました。ほぼ即座に、大量のEメールがそのアカウントから送信され、そのすべてに疑わしいリンクが含まれていました。

図1:攻撃のタイムライン - 合計滞留時間は5日間

マルウェアの送り込み

組織のデジタルエコシステムに一旦侵入すれば、動き回ってさらに別のアカウントを侵害することは簡単です。ほとんどのセキュリティツールや従業員は信頼のおけるユーザーから送信された社内メールを疑うことはしません。権威のある、上級の役職からのものであればなおさらです。

予想通り、一連のEメールが送信された後、他の社内アカウントにおいて異常なロケーションからの不審なアクティビティがみられるようになりました。これらのユーザーは、同僚からとされるEメールに騙され、認証情報を入力してしまったのです。

機密性が高い顧客データがさらに読み取られ、それに続いてこれらの乗っ取られたアカウントからの送信Eメールが再び急激に増加しました。

今回は、Eメールは社内ではなく、外部の相手先に送信されました。おそらく、これらの相手先はこのロジスティクス企業と当時仕事上のやりとりをしており、これらのアカウントからEメールを受信することに慣れていたものと思われます。

合計すると、450通を超えるEメールが幅広い相手先に送信されました。これらの相手先の多くはその結果認証情報が漏えいし、このサイクルが繰り返されることになりました。

図2:Cyber AI Analystは侵害されたユーザーの疑わしいアクティビティを調査し、不審なログイン場所や実行されたアクションについての詳しい情報をまとめて表示します

紙一重の危険: サードパーティ攻撃の脅威

そもそも、この攻撃の開始のきっかけとなった最初のフィッシングEメールの発信元は、この顧客を知る本物の相手先であり、そこでも同じことが起こっていたと思われます。

このように送信元を新しくして悪循環を生むベンダーEメール侵害は、Eメールセキュリティソリューションによる検知が非常に困難なことで知られ、深刻な金銭上および評判上の損害につながる可能性があります。問題をさらに複雑にしているのは、既知の送信者から来た不審なEメールに対抗措置を取ると、実はそれが本物であった場合に深刻なビジネスの中断が起こってしまう可能性もあることです。

そのため、セキュリティは「良い」、「悪い」の二項対立的アプローチを超え、Eメールのやり取りを取り巻くコンテキスト条件に対するより包括的なアプローチに向かう必要があります。

Darktraceは同じドメインの送信者からの他のEメールとの比較により、複数の異常を正確に検知しました。優先度の高いアラートをセキュリティチームに送信しましたが、検知のみのモードに設定されていたため、Eメールが受信箱に到達するのを食い止めることはできませんでした。

Thu Jul 15 2021, 08:07:49
Q4 Results
Sally Augsburg <[email protected]>
Jonas Catena <[email protected]>
91%
Processed (unread)
Out of Character
Suspicious Link
Established Domain
Known Domain Relationship
Move to Junk
Lock Link
Double Lock Link
Anomaly Indicators

This organization does not usually send emails from United States or containing links to create.piktochart.com.

The email contains a highly suspicious link to a file storage host create.piktochart.com. These can be used to host malicious content on websites that appear reputable. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading Q4 results document. The link was double locked which forbids user access.

図3:最初のフィッシングEメールに対してDarktraceが自動的に生成したサマリーには、このEメールの疑わしい点の概要がまとめられています

攻撃で見られたフィッシングリンクは、インフォグラフィックやチャート、フォーム等さまざまな種類のファイルを作成するための、Piktochartと呼ばれるサードパーティ製ツールを使っていました。Piktochartにはさまざまな正しい用途がありますが、悪用されることもあります。そのため、ゲートウェイはPiktochartの正しいリンクと悪意あるリンクを区別することが困難です。このケースでは、ゲートウェイは分析のために最初のEメールのリンクを書き換えましたが、それが悪意あるものであるとは特定できませんでした。

これとは対照的に、Darktrace for EmailはこのEメールの異常を容易に識別しました。このEメールが送信者にそぐわないものであり、リンクそのものが疑わしいことに気づいたからです。アクティブモードで運用されていれば、AIがリンクをブロックし、Eメールをゴミ箱フォルダに移動することにより、結果的に攻撃の最初のステップを阻止し、それ以上の侵害を防いでいたはずです。

図4:Piktochartはこの時点までこの環境内でめったに見られたことがありませんでした(ドメインの未知度は100%でした)。そのため、Darktraceはこのサードパーティツールの使用の異常性を容易に検知しました。

バタフライ効果

ほとんどのサイバー攻撃はたった1つの侵入ポイントから始まります。攻撃者に必要なのはそれだけです。サプライチェーン全体を崩壊させるのには1通のフィッシングEメールで十分なのです。サイバー攻撃の94%はEメールから始まっていますが、サプライヤーもベンダーもMicrosoft TeamsとGoogle Cloud を含めた複数のSaaSプラットフォームを使って絶え間なくコミュニケーションしています。Eメールセキュリティツールは、信頼のおける第三者が異常な振る舞いをしたときにそれを検知できなければならないのです。

特にリモートワークの拡大により、SaaSの利用は世界中のビジネスで急増しており、その多くはワークフォースの柔軟性を確保するためにクラウドやSaaSを導入せざるを得なかったのです。確かにメリットもありますが、それによってアタックサーフェスも広がり、従来のセキュリティツールや人間のセキュリティチームは限界に近づいています。

グローバルなオペレーションにおいてしばしば仲介者の役割を果たすロジスティクス企業においては、認証情報の詐取はこの企業にとって深刻な影響があるだけでなく、この企業のあらゆるEメール連絡先にとっても問題であり、多くの人や企業において重大な侵害につながる可能性があります。

図5:Darktraceのユーザーインターフェイスでは、侵害されたアカウントから送出されたEメール数が2回急増していることが確認できます。

この脅威事例についての考察はDarktraceアナリストEmma Foulger が協力しました。

IoC:

IoCコメント
41.190.30[.]37最初に侵害されたアカウントのSaaSアクティビティのソース
194.36.111[.]68最初に侵害されたアカウントに対しこのIPから新しいEメールルールが作成された
102.68.108[.]33ログイン試行、ファイルプレビュー、新しいEメールルールを含む、大半の疑わしいSaaSアクティビティのソース

Darktrace によるモデル検知結果:

  • SaaS / Compliance / New Email Rule
  • SaaS / Unusual Login and New Email Rule
  • Antigena Email models included
  • Unusual / Unusual Login Location and New Unknown Link
  • Link / Account Hijack Link
  • Link / Outlook Hijack
  • Internal Compromise / Recipient Surge from Unusual Login Location (outbound emails)
  • Internal Compromise / Recipient Surge with Suspicious Content (outbound emails)

Mariana Pereira

Mariana is the Director of Email Security Products at Darktrace, with a primary focus on the capabilities of AI cyber defenses against email-borne attacks. Mariana works closely with the development, analyst, and marketing teams to advise technical and non-technical audiences on how best to augment cyber resilience within the email domain, and how to implement AI technology as a means of defense. She speaks regularly at international events, with a specialism in presenting on sophisticated, AI-powered email attacks. She holds an MBA from the University of Chicago, and speaks several languages including French, Italian, and Portuguese.