テクノロジー
製品
リソース
会社
日本語
テクノロジー
製品
ブログ
リソース
会社

サプライチェーン詐欺:ベンダーEメールの侵害をDarktraceが検知

Dan Fein, Director of Email Security Products

サプライチェーンアカウントの乗っ取りは、Vendor Email Compromiseとも呼ばれており、現在Eメールセキュリティが直面する最も切迫した問題です。最近、大掛かりなサプライチェーン攻撃の波が押し寄せていますが、サイバー犯罪者はこの手法で成功を続けており、この傾向は2021年にも増加の一途をたどっていくでしょう。従来のセキュリティツールはこうした攻撃の阻止には無力です。悪意あるEメールが信頼されるパートナーやサプライヤーから送信されてくるため、それらはゲートウェイをすり抜けてしまいます。

最近のSolarWindsサイバー攻撃は、サプライチェーン攻撃の影響は壊滅的となり得ることを示しています。ビジネスパートナーシップはかつてなく複雑になっており、このことは1つの侵入が、中小企業から政府機関に至るまで、グローバルなサプライチェーンのあらゆるレベルで数十社の組織に影響を及ぼすことを意味しています。

このブログでは、Antigena Emailをトライアル利用中の顧客に対して、侵入されたサードパーティプロバイダから悪意あるEメールが送られてきた事例を解説します。Eメールが信頼される送信元からのものであるにもかかわらず、Aiテクノロジーは挙動の変化を認識しました。送信者の以前の動作と比較すると、異常であると判断されたのです。この相手先がアカウントの侵害に気づき、普段Eメールをやり取りしている連絡先に警告を発信したところ、Antigenaはこれらのメールについては良性と認識しました。しかし攻撃者は引き続きこのアカウントを使って悪意あるEメールの送信を続け、これらの脅威となるEメールはこの企業の他のセキュリティツールを通過しましたが、Darktraceによって保留にされました。

サプライチェーンの侵害

ここで状況を確認しましょう。問題の企業は世界最大手の飲料メーカーの1つでありEメールユーザーだけでも約15,000人がいます。膨大な世界的サプライチェーンには数多くのパートナーや信頼されるベンダーが含まれています。これらのサードパーティのうち1社が侵入を受けた後、悪意あるアクターはフィッシングメールをサプライチェーン全体に送り、出来る限り多くの組織に侵入しようとしました。この飲料メーカーは主要なターゲットの1つでした。

このサードパーティとの信頼関係はDarktraceのEメールタグからも確認することができます。これらのタグはこのサプライヤから過去に送られてきた正しいEメールに適用されたものです。

Thu Mar 11 2021, 18:50:12
Re: Drinking Vendors
Alessandro Langedijk <[email protected]>
George Torde <[email protected]>
0%
Processed (unread)
Active Conversation
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History

図1:Antigena Emailの対話型インターフェイス画面

この正しいEメールが見られた直後、同じアカウントから新規メールが多数送られてきました。この正当なトラフィックを利用し、攻撃者は他のツールを回避して正当なコミュニケーションに紛れ込むことに成功したのです。サプライチェーン攻撃においては、こうしたカモフラージュが侵入を成功させるための鍵です。

しかし、送信者の挙動を過去の履歴と比較した場合のわずかな変化から、Darktraceはアカウントが侵入されたことを識別することができました。これはOut of Character およびSuspicious Link タグにより示されています。

Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Held
Out of Character
Suspicious Link
Established Domain
Known Correspondent
Known Domain Relationship
Moderate Communication History
Hold message
Lock all links
Move to Junk
Anomaly Indicators

The anomaly score assigned to this email was unusually high for this organization. They have never previously sent a link to ows.io.

The email contains a highly suspicious link to a host ows.io. The host has a 100% rarity score based on references in internal traffic, indicating no prior association. The link was hidden from the user and masked by text reading View Engage Data Source Activity. An inducement score of 76% suggests the sender is trying to induce the user into clicking.

図2:Antigena Emailの対話型インターフェイス画面

DarktraceのAIはさまざまな異常を検知しましたが、それには次のようなものがありました:

  • Eメールの送信元とそのアカウントのログイン場所
  • リンクの性質と会社との関連性
  • Eメール本文の言葉遣いと意図

Eメールに含まれるこれらのきわめて微妙な変化はDarktraceの洗練された教師なし機械学習アプローチによってのみ検知が可能です。ユーザーが通常どのように振る舞い同僚やその他の組織とやり取りするかを理解することにより、DarktraceのAIはアカウント乗っ取りやなりすましを示す異常な挙動を識別することができるのです。

攻撃の内訳:信頼できる相手を疑う

Eメールの中には、ユーザーを本物のファイルストレージサイト(‘canva.com’)に誘導するリンクが含まれていましたが、このサイトは悪意あるペイロードをホストするのに使われていました。この戦術は従来のセキュリティゲートウェイを回避するためにサイバー犯罪者がよく使う方法です。その理由は、ドメインそのものが正当であるために、レピュテーションチェックを使った方法では従来のゲートウェイは悪意あるファイルストレージリンクから守ることができないためです。

しかしAntigena Emailは、このEメールに整合性がないことを識別し100%異常であるとフラグを立てました。以下の図は、悪意あるEメール3通とAntigena Emailの機械学習によりそれらにつけられたスコアを示しています。一番上のEメールはサプライヤーがアカウント侵入について警告するために企業に送った本物のEメールです。悪意あるEメールの直後に到着したにも関わらず、このEメールに与えられた脅威スコアは31%に過ぎず、アクションは提案されていません。これは、Antigena Emailが悪いEメールを阻止するという価値があるだけでなく、良いEメールも正確に識別し、正当なコミュニケーションの邪魔をしないということも実証しています。

Wed Mar 17 2021, 16:09:48
Warning: Phishing Mail Active
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
31%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Rupert Nowers <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
Elizabeth Walton <[email protected]>
100%
Wed Mar 17 2021, 12:39:51
Market Data: Beverages
Alessandro Langedijk <[email protected]>
James Rohan <[email protected]>
100%

図3:Antigena Emailは危険なEメールと害のないコミュニケーションを明確に区別

Antigena Emailが選択したアクションは、Eメールそのものを受信箱から保留にし、コミュニケーションをよりセキュリティの低いプラットフォームへ移そうという誘いや試みの可能性から受信者を保護することでした。

盲目的信頼:サプライチェーン攻撃の台頭

非常に儲かる詐欺としてサプライチェーン攻撃が今年も引き続き増加することは疑いありません。サイバー犯罪者は最も弱いリンクを集中して狙い、パートナーやサプライヤを標的としてさまざまな組織への足掛かりを得ようとしています。実際、今年はCEO詐欺よりもサプライチェーン攻撃が増える可能性が高いでしょう。 執行役員レベルは用心深いセキュリティチームにしっかりと守られていることが多いのと比較して、サードパーティからはさまざまな方法で企業に侵入することができます。セキュリティチームからサードパーティ環境は見えませんし、正当なソースから来るEメールにゲートウェイがフラグを立てることは滅多にありません。

Antigena Emailは、個別のEメール一つ一つをより広い組織、受信者、送信者との過去のやり取りというコンテキストで評価し、悪意ある目的で送信された異常なEメールを送信者が誰かに関係なく阻止できる唯一のEメールテクノロジーです。

Dan Fein

Based in New York, Dan is the Director of Product. He joined Darktrace’s technical team in 2015, helping customers quickly achieve a complete and granular understanding of Darktrace’s product suite. Dan has a particular focus on Darktrace for Email, ensuring that it is effectively deployed in complex digital environments, and works closely with the development, marketing, sales, and technical teams. Dan holds a Bachelor’s degree in Computer Science from New York University.