はじめに
ビジネスメール詐欺(BEC)とメールアカウント侵害(EAC)は、すべての業種のあらゆる規模の企業を悩ませています。このタイプの攻撃は、他のどのサイバー犯罪よりも被害額が大きくなる傾向があります。FBIは、2016年6月から2019年6月までの間に企業が262億ドルの損失を被ったと報告しました。2019年だけでも、BEC詐欺はすべてのサイバー犯罪被害の半分以上を占め、その金額は推定17億7000万ドルに昇りました。そして、2019年のBECインシデントあたりの平均の被害額は74,723ドルでした。*1
BEC/EACの問題はかなり深刻なものになりますが、プルーフポイントは、ビジネスメール詐欺(BEC)あるいはなりすましアカウントから送信されるメールアカウント侵害(EAC)のメッセージを、1営業日あたり15,000以上、年間400万近くブロックしています。
このブログでは、プルーフポイントがビジネスにとって最も重要であると考えるBEC/EAC攻撃のタイプについて解説します。今回のブログでは、BEC/EACサプライヤー請求攻撃に焦点を当てます。
BECサプライヤー請求詐欺とは
BECサプライヤー請求詐欺は、不正な請求書を正規のものとして信用させるか、支払いを攻撃者の銀行口座に振込ませることによって金銭を騙し取るための、高度で複雑な攻撃の仕組みです。サプライヤーからの請求金額は多額になることが多く、これらの詐欺では被害額が膨らむ傾向があります。プルーフポイントは複数のサプライヤー請求詐欺の試みをブロックしましたが、各々のインシデントは数百万ドルの規模に達していました。
プルーフポイントでは、2020年に、1億円を要求するサプライヤーになりすました請求詐欺を複数阻止しています。
BECサプライヤー請求詐欺は成功の可能性が非常に高く、有名人でさえ騙されることがあります。2020年2月、米TV番組「Shark Tank」に出演しているBarbara Corcoranは、BECサプライヤー請求攻撃により40万米ドル近くを失いかけました。彼女にとって幸いだったのは、攻撃者が引き出す前に資金を回収することができたことです。*2
しかし、このようなケースは稀です。BECサプライヤー請求詐欺で資金を回収できることはめったにありません。
この例からも、サプライヤー請求詐欺が成功した場合の攻撃者の報酬が高額になることがわかります。プルーフポイントは、攻撃者に数百万ドルをもたらす可能性があった請求詐欺を阻止しました。
ギフトカード詐欺や給与送金詐欺と同様に、サプライヤー請求詐欺は、ソーシャル エンジニアリングとなりすましを使って標的となる被害者を騙し、攻撃者に送金させようとします。しかし、BECサプライヤー請求詐欺が他の詐欺と異なっているのは、これらの詐欺の被害が高額になることだけでなく、その本質の複雑さにもあります。
ギフトカード詐欺は比較的単純で、1人の従業員を1通のEメールで狙いますが、サプライヤー請求詐欺は信頼されているベンダーの侵害となりすましを伴う複雑なものであり、複数の個人や組織を狙って複数の段階を経て実行されます。なりすましには、アカウントレベルまたはドメインレベル(類似ドメインなど)のいずれかが使われます。
BECサプライヤー詐欺の仕組み
プルーフポイントが観測したBECサプライヤー請求攻撃の多くは、侵害された正規のEメールアカウントから行われています。これらの侵害されたアカウントは、攻撃者の間で高値で取引されています。彼らは広範囲にわたる偵察を行うことができ、不正なEメールは侵害された正規のアカウントから送信されるため、Eメール認証基盤(DKIM、SPF、DMARCなど)を通過してしまいます。
正規のトランザクションを特定すると、攻撃者はそのトランザクションに関連した進行中のEメール会話を「スレッドハイジャック」します(下の図のステップ3)。標的とされた被害者は、このEメールスレッドを正規のものであると当然信じ込んでいるため、そこに投稿された攻撃者のメッセージを信用してしまいます。そのため、監査や新型コロナウイルス対応のためという理由で振込先の銀行口座を変更して欲しいという要求が正当なものであるように思えてしまいます。この信憑性と信頼性は、ソーシャル エンジニアリングの重要な要素です。スレッドハイジャック攻撃はその性質上、ユーザーが自ら気づくことは不可能ではないにしても非常に困難であり、テクノロジーによる対策が特に必要で、それが有効でもあります。
図1:サプライヤー請求詐欺攻撃の仕組み
攻撃のこの段階で、攻撃者はサプライヤー アカウントへのなりすまし戦術に転換し、Eメールの会話の「返信先」または「cc」になりすましのアカウントを挿入します。なりすましアカウントには、サプライヤーの類似ドメイン(たとえばsupplier.comの代わりにsupp1ier.comなど)または類似アカウント(たとえばjane[.]doe[@]supplier[.]comの代わりにjanedoe [.] supplier [@] mail [.] comなど)が使われます。
なぜそのようなことをするのでしょうか?なりすまし戦術に転換することで、侵害されたアカウントが復旧された場合でも、攻撃者は標的とのEメールのやりとりを維持することができるからです。多くの場合、そのEメールスレッドはなりすましアカウントによって続行されます。なりすましアカウントにやりとりを移動することでサプライヤーのSEGからログが失われるため、フォレンジックや調査がより困難にもなります。
以下の画像は、プルーフポイントがブロックしたBECサプライヤー請求詐欺のやりとりを表示しています。この攻撃者は、侵害されたサプライヤー アカウントから開始され、既存のEメールスレッドを乗っ取り、「なりすまし返信先への転換」戦術を使いました。彼らは2人の別々の信頼できる個人になりすまし、財務および会計を担当する2人の別々の個人を標的にして、詐欺を正当な要求に見せようとしました。
図2に、サプライヤーの信頼できる個人の侵害されたアカウントからのEメールメッセージが、正規の請求書に関するいくつかの既存のEメールスレッドを乗っ取っているところを示しています。このメッセージでは、攻撃者は信頼できる個人の実際のアカウントを使用し、そのアカウントを侵害することによって得られた制御を通じてなりすましを達成しています。
図2:侵害されたサプライヤー アカウントからターゲット アカウントへのEメールスレッドの乗っ取り1
図3では、攻撃者は侵害したアカウントから、完全に攻撃者の制御下にあるなりすましアカウントに転換しています。このアカウントは、両方の被害者にフォローアップ メールを送信しているサプライヤーの別の信頼できる個人に見えます。なりすましは、信頼できる個人のアカウントのように見せかけた偽のアカウントを使用して行われます。
図3:偽装されたアカウントから両方のターゲット アカウントへのEメール
この2番目のEメールが最初のEメールと同じ請求書番号を参照し、両方のEメールが標的とされた被害者の1人に送信されたという事実が、詐欺の信頼性を高めます。これらの2つのEメールは相互に補強し合って正当性を高めるため、被害者の1人が攻撃者の期待に応えて行動を起こすことになります。
図4では、攻撃者は侵害されたサプライヤー アカウントに戻り、支払いを横取りするために銀行口座の変更を要求しています
図4:支払い先の銀行口座の変更を要求する侵害されたサプライヤー アカウントからのEメール
このEメールが、BEC攻撃でよく使われるソーシャル エンジニアリング戦術である権力と緊急性の両方を使用していることも注目に値します。また、詐欺メールには添付ファイルやURLなどのマルウェア ペイロードが含まれていないことにも注意してください。被害者がクリックするためのリンクや添付ファイルは含まれていません。
これは全体としては、攻撃者がID偽装、権力、緊急性を組合わせ、アカウントの侵害やなりすましへの転換などの戦術を駆使して不正な銀行口座の変更要求を正当に見せかけ、標的に攻撃者の銀行口座に振込ませるという流れを表わしています。
プルーフポイントはBEC/EACサプライヤー請求詐欺から企業をどのように保護できるか
プルーフポイントは、組織をサプライヤー請求詐欺から保護するために多階層のソリューションを提供しています。まず、Proofpoint Email Protectionの一部であるNexusAI for BEC Detectionは、ヘッダー情報、ドメイン、メッセージ本文など、さまざまなメッセージ属性を動的に分析して、メッセージがなりすましメッセージであるかどうかを判断します。Proofpoint Email Protectionは、次の方法でプルーフポイントのお客様に独自の価値を提供します。
- Nexus Threat Graphは、Eメール、クラウドアカウント、ドメインなどにまたがる何兆個もの脅威データポイントを集約して相互に関連付けます。複数の攻撃経路を横断した脅威の可視性は、侵害されたアカウントからの不正なメッセージを識別するための重要な要素です。
- 1日あたり15,000通のBECメッセージをグローバルに分析および遮断していることで、NexusAI for BEC Detectionにはメッセージ本文の内容を比較するための過去のBEC攻撃の大規模なコーパスが蓄積されるため、プルーフポイントのお客様は大きなメリットを享受できます。
- アウトバウンドのメールフローに関与することで、通信を双方向に理解し、通信の履歴が確実かどうか、またはメッセージが通信したことのないサプライヤーになりすましている誰かからのものであるかどうかを識別できます。
次に、Nexus Supplier Risk Explorerはサプライチェーンを継続的にマッピングし、企業を狙って送信している可能性のある脅威を明らかにします。この可視性はどのサプライヤーが最もリスクが高いかを理解するのに役立ち、そのリスクを軽減するためにアダプティブな制御を実装することができます。
図5:Nexus Supplier Risk Explorerは、サプライヤーとそれらがもたらすリスクを自動的に識別します
第3に、プルーフポイントはインシデント対応者に、それがどのタイプのBEC攻撃(たとえば、請求、ギフトカード、給与)であり、誰がそれを受け取ったかを理解するためのレポートを提供します。この可視性は優先順位付けにとって重要であり、実行する必要のあるアクションについて通知します。プルーフポイントは、転送メールや配布リストを含む配信済みのメッセージを自動的に検索して回収する機能により、インシデント対応を簡素化することもできます。
図6:詳細なレポートにより、インシデント対応者がどのタイプのBEC攻撃か、誰がこの攻撃を受けたかを理解できます。
最後に、プルーフポイントは企業がユーザーを防御体制の一部に変えるために役立つセキュリティ意識向上トレーニングを提供します。BECサプライヤー請求詐欺はエンドユーザーをだますためにソーシャル エンジニアリングに依存しているため、それについて従業員をトレーニングすることが重要です。プルーフポイントは、組織がユーザーにBECサプライヤー請求詐欺を発見できるように教育するだけでなく、それらのユーザーにメッセージを疑わしいものとして報告してもらい、報告されたメッセージの調査と修正を自動化することもできます。
貴社は守られていますか?
BECサプライヤー請求詐欺は、そのゴールや戦術においては必ずしも洗練されていません。ゴールは単純で、ターゲットの被害者に不正な請求書が正当であると誤認させ、彼らがそれを支払うように仕向けることです。戦術は主になりすましとアカウント侵害であり、技術的には高度ではありません。
しかしBECサプライヤー請求詐欺は、これらの戦術を創造的な方法で組合せており、相変わらず高い成功率を維持しています。このブログの例に見られるように、これらの戦術の組合わせの最終結果は、合理的で成功率の高い多階層の詐欺です。
BEC/EAC詐欺から保護するための最も重要な行動の1つは、組織がそれらと戦う準備ができているかどうかを理解することです。こちらでBEC/EACに対するアセスメントを行ってぜひを確認してください。
*1: FBI 「2019 Internet Crime Report Released」February 11, 2020
*2: CNN 「'Shark Tank' judge Barbara Corcoran gets her $400,000 back from scammers」March 3, 2020