本ブログは、英語版ブログ「https://www.proofpoint.com/us/corporate-blog/post/how-fight-phishing-attacks-real-world-examples-and-solutions」の翻訳です。
Proofpointの観測によると、標的型フィッシング攻撃は増加しています。ProofpointがO365環境を利用している組織を分析した結果、30%の組織がアカウントを侵害されており、それは主にO365クレデンシャル情報へのブルートフォース攻撃*1によるものでした。これらのフィッシング攻撃によって侵害されたアカウントは、機密データを盗み出すための攻撃に使われることがあります。
*1 ユーザーのアカウント・パスワードを解読するため、考えられる全てのパターンを試す方法。総当たり攻撃とも呼ばれる。
このタイプのメール攻撃はどのように行われるのでしょうか? 手順は次のとおりです:
- 攻撃者が正規のビジネスメールアカウントを侵害(または盗まれたクレデンシャルを購入)します。
- 攻撃者は、侵害したアカウントの受信トレイ/アーカイブ内のメッセージにアクセスし、悪意のあるドキュメントを付けて送信元へ返信します。
- 正規の業務用メールへの返信として送信されているため、受信者は(高い確率で)この悪意のあるドキュメントをクリックする可能性があります。例として、これまでに確認されたメールスレッドをいくつかご紹介します:
- 「Concurにログインできません。どうしたら良いですか?」「文書を添付します」
- 「XYZ機器の見積りを下さい」「添付した文書をご確認ください」
- 「xxさんの連絡先をご存じですか?」「添付文書を見て下さい」
プロダクトマーケティングマネージャーとして、私はメールを使った攻撃から生じる問題についてお客様を啓蒙することに注力しています。これまでに、実際にあった攻撃のいくつかをご紹介します。
2つの内部メール攻撃の例
- ハイテク企業
最初の攻撃例は、ハイテク企業のお客様のものです。多くの洗練された攻撃と同様に、この攻撃も、何週間もの間検出されませんでした。何が起こっているのかを突き止めるためにProofpointが調査を行ったところ、攻撃者がアカウントを侵害し、マン・イン・ザ・ミドル攻撃*2を実行するための永続的なメール転送ルールを設定していたことがわかりました。
*2 通信している2人のユーザーの間に第三者が介在し、送信者と受信者の両方になりすまして、ユーザーが気付かないうちに通信を盗聴したり、制御したりすること。
この攻撃は検出を免れていたので、攻撃者は侵入先のアカウントとそのベンダーの間でビジネスがどのように行われたかについての詳細な知識を得ました。犯罪者は請求書のやりとりを傍受し、資金を自分の口座に振り向けるように改ざんしました。たった一日で、このお客様は現金で7桁の金額を失うことになりました。しかしもっと大きな損害は、取引先のベンダーからの信頼の喪失だったのかも知れません。
② 高等教育機関
もう一つの例は、ある大学が経験したさまざまなアカウント侵害です。攻撃者は、一つのアカウントを侵害して最初の足がかりを得た後、ラテラル(横方向)への攻撃を行って他のアカウントを侵害し始めました。このアプローチのメリットは、一つのアカウントの侵害が防御システムによって検知された場合でも、攻撃者は単純に次の侵害されたアカウントに移動することで、攻撃を継続できることです。
これらの侵害されたアカウントを使用して、攻撃者は大学が関係していたベンダー、研究パートナー、および採用担当者にフィッシングメールを送信しました。これらの組織間のメールはホワイトリストに登録されていたため、フィッシングメールの多くは検出されずに通過してしまいました。攻撃が明るみに出た後、この大学の電子メールはブラックリストに載せられ、パートナーからの信頼はひどく傷つけられました。
内部メール攻撃のリスクを緩和
多くの場合、組織はVIPや役職者を優先的に保護します。しかし、VIPが必ずしもVAP(Very Attacked Person:最も攻撃される人)とは限りません。Proofpointでは、組織内の誰が非常に標的を絞った攻撃を受けているのか、それらの攻撃がどのように見えるのか、そしてどのようにして最も効果的に攻撃を行えるのかを明らかにすることに取り組んでいます。
従業員のセキュリティ意識を向上させるトレーニングと脅威インテリジェンスの組み合わせは、メールセキュリティ戦略の基盤として優れています。
Internal Mail Defense(IMD)による顧客の成功例
私は、南イリノイ大学のCISOであるScott Bridgesと素晴らしい会話をしました。彼は、彼らがアカウント侵害について経験した問題のいくつか、そしてProofpointのソリューションがそれらを解決するためにどのように役だったかについて、話してくれました。彼は、彼らが問題を可視化する良い方法が他になかったため、複数のITスタッフが専任で業務にあたらざるを得なかった、と説明しました。
原則として、彼らはユーザーからの自己報告に頼っており、侵害されたアカウントをマニュアルで追跡していました。ProofpointのInternal Mail Defense(IMD)ソリューションを採用した後は、IMDが悪意のある内部メールの発見と修復に関連するプロセスのほぼすべてを自動化したため、ほぼすべてのITスタッフを他のプロジェクトに振り向けることができたということです。
ProofpointはIMDを多くのお客様に提供しているため、興味深い結果が出始めています。8社のお客様をサンプルとして取り上げると、1か月の間に500を超える悪意のある内部メッセージを検出してリスクを緩和することができました。これらの問題に対処できるIMDのようなソリューションを採用していなければ、問題は必然的に悪化し続けます。
もっと詳しく
侵害されたアカウントと内部メール攻撃の脅威を解決する手段の詳細については、Proofpointにお問い合わせください。私たちのセキュリティ教育とInternal Mail Defenseソリューションは、多くの組織がこれらの問題に取り組むことを支援しており、Proofpointはお客様に同様の結果を提供することができます。