IBM Security X-Force：ナイジェリアのビジネス・メール詐欺（BEC）を分析

記事をシェアする:

IBM X-Force Incident Response and Intelligence Servicesは、ナイジェリア出身と思われる脅威グループが、広範囲に及ぶ資格情報の窃取（credential harvesting）、フィッシング、ソーシャル・エンジニアリング攻撃に関与し、金融資産の盗難をたくらんでいると推測しています。2017年の初秋、IBM Security X-Forceは、お客様から報告される事例の中で、電信送金による支払を通じた詐欺や詐欺未遂の件数が著しく増加していることを発見しました。このような脅威グループは、ビジネス・メール詐欺（BEC）をうまく利用し、一部のFortune 500企業において、攻撃者が管理する口座に対する偽の電信送金に着手するよう買掛金の担当者を納得させ、結果として数百万ドルを盗み出しました。

このIBM Security X-Forceレポートは、このようなBEC詐欺から2つの事例を明らかにし、分析します。BEC詐欺は新しい手口ではありませんが、ここで取り上げる事例は、盗んだ電子メールの資格情報を攻撃者がどのように利用するのか、また、企業ネットワークを侵害せず企業を欺く、高度なソーシャル・エンジニアリング戦略について詳しく示しています。このレポートの目的は、被害者を欺くために利用される具体的な策略を明らかにしてBECの脅威をお客様にお伝えし、BEC詐欺にだまされるリスクの削減に役立つよう、企業がすぐに導入できる推奨事項を提供することです。

サイバー詐欺師

BEC詐欺は、信頼できるユーザーの電子メール・アカウントを乗っ取ったり、装ったりして、海外への電信送金を実施する企業を標的に、攻撃者が管理する口座に支払先を変更させることを目的としています。

このような攻撃は、ほとんどすべてがフィッシングとソーシャル・エンジニアリングに基づいており、比較的単純なことから、サイバー犯罪者にとっては魅力的です。BEC詐欺には多くの場合、技術的な知識やマルウェア、特別なツールはほとんど必要ありません。

Trend Microの先日のレポートによると、BEC攻撃は、2018年に90億ドルを超える被害に上り、2016年末の53億ドルから上昇すると予測されています。FBIによると、BEC詐欺は、米国のすべての州、および131カ国で報告されており、逮捕が注目を集める結果になりました。

攻撃の概要

IBM Security X-Forceの研究者は、BEC詐欺に関与する攻撃者が、巧みに構築されたソーシャル・エンジニアリングの戦略を利用し、フィッシング・メールを活用して正当な資格情報を入手し、最終的に多額の金銭を盗み出すのを観察しました。

以下の戦略は、IBM Security X-Forceの研究者が調査した攻撃に共通していました。

• フィッシング・メールは、直接、または、標的となった社員のアドレス帳にある既知の関係者になりすまして、送信されました。
• 攻撃者は、以前の会話をまねたり、ビジネス・メールのユーザー同士で現在交わされている会話に攻撃者自身が介入したりしました。
• 攻撃者は、既知のベンダーや関連する企業に所属する既知の関係者になりすまし、電信支払を「更新された」銀行口座番号や受取人に送金するよう要求しました。
• 攻撃者は、メール・フィルターを設定して、やり取りを攻撃者と被害者の間に限るよう徹底したり、一部の事例では、侵害したユーザーの受信箱を監視しました。
• 追加の承認やペーパーワークが必要な場合、攻撃者は適切な書式を見つけて記入し、上司の電子メールを装って必要な承認を受けました。
• マルウェアが利用されることなく、また、実際の取引を行う正当なステークホルダーを伴っていたため、従来の検出ツールやスパム・フィルターが侵害の証拠を特定できませんでした。

1 スピアフィッシング
攻撃者は、侵害されたアカウントを通じ、社内外の関係者にフィッシング・メールを送信

2 資格情報の窃取
標的とされた企業の社員が資格情報を偽のウェブサイトに入力

3 標的の設定
攻撃者は、買掛金部門の社員を標的に定め、手順を検討

4 詐欺師
攻撃者は、既知の同僚や上司を装うことにより、買掛金プロセスを利用

5 基盤の構築
攻撃者は、タイポスクワッティング・ドメインと、実の社員に似せた電子メール・アドレスを作成

6 隠蔽工作
攻撃者は電子メールのルールを作成し、被害者にわからないよう、悪意のある活動を隠蔽

7 電信送金
攻撃者が偽の電信送金に着手するよう被害者を納得させた結果、数百万ドルの被害が発生

8 繰り返し
攻撃者は侵害された電子メールを利用し、さらなる関係者リストにフィッシング・メールを送信

特性と影響範囲

IBM Security X-Forceは、このような攻撃を実行する脅威グループは、ナイジェリアから国外に向けて操作している可能性があると推測しています。ウェブ上でアクセスする電子メール・ポータルのログインに使用された、なりすましメールの送信アドレスとIPアドレスは共に、追跡すると大部分がナイジェリアにたどり着くからです。

しかし、注目すべきは、こうした攻撃者がしばしば、侵害されたサーバーやプロキシー・ローテーションを利用するという点です。こうしたサーバーやプロキシーは、追跡すると別の国にたどり着き、実際の場所を隠している場合があります。

各グループ個別の規模はわかりませんが、攻撃者は、フィッシング・キットを利用し、侵害された100を超えるウェブサイトで偽のDocuSignログイン・ページを作成したと考えられます。このことから、各グループはそれぞれ2人以上で構成され、広範囲に及ぶ活発なフィッシング攻撃に関与し、ビジネス・ユーザーの資格情報を窃取していることがわかります。

侵害されたウェブサイトの地理的な場所、IPアドレス解決方法、業界はさまざまで、互いに関連はないように考えられます。IBM Security X-Forceの研究者は、少なくとも小売、ヘルスケア、金融、専門サービスの業界において、Fortune 500企業を含む、標的とされた企業を特定しました。

罠を設定

IBM Incident Respondersが特定したBEC詐欺は、別個であるが関連する2つの目標を持っています。第1に、大量のビジネス・ユーザーの資格情報を窃取すること、第2に、その資格情報を利用して正当な所有者になりすまし、最終的に社員をだまして、攻撃者が管理する銀行口座へ送金先を変更させることです。

第1の目標を達成するため、攻撃者は、すでに侵害された資格情報のセットを利用し、ユーザーの社内外の関係者に大量のフィッシング・メールを送信しました。このフィッシング・メールは通常、数百人の関係者に同時に送信され、スパム・メールを送られた関係者に正当なメールに見えるよう、巧みに作られていました。

攻撃者は、公式に入手可能な企業情報を利用し、信頼できるフィッシング・メールを作成し、ビジネス文書が表示されると見せかけたリンクを記載しました（図1参照）。

図1：フィッシング・メール本文のスクリーン・ショット：IBM Security X-Forceが確認した詐欺は、フィッシング・メールと偽のDocuSignページに共通点があります。

被害者がリンクをクリックすると、偽の「DocuSign」ポータルにリダイレクトされ、ユーザーは、参照ドキュメントをダウンロードするために電子メールのプロバイダーを通じて認証を受けるよう要求されました（図2参照）。

図2：DocuSignフィッシング・サイトのスクリーン・ショット

電子メールにも偽の「DocuSign」ポータルにも、ユーザーのマシンにダウンロードされるマルウェアはありません。

第2の目標を達成するため、攻撃者は、企業から盗んだ資格証明のうち、1要素認証と電子メールのウェブ・ポータルを利用するものに焦点を絞りました。例えば、Microsoft Office 365のアカウントにアクセスするのに、社員にユーザー名とパスワードしか要求しない企業は侵害を受けていました。電子メールのウェブ・ポータルを利用すれば、被害者の企業ネットワークを侵害することなく、攻撃者は、オンライン上で攻撃を完了することができました。攻撃者は特に、企業の買掛金部門に関わる担当者を標的にして、企業の銀行口座にアクセスしたことがある被害者を確実に選択していました。

攻撃者は、社員と関わる前に偵察の段階に着手し、ユーザーの電子メール・フォルダー内の活動に目を通した可能性があります。利用する話題や機会を探し出し、最終的に適切な会話を構築したり、自分自身が会話に介入したりするためです。

高度なソーシャル・エンジニアリング戦術

特殊なツールやマルウェアなしで企業をだますことに成功するために、攻撃者は、一般的な買掛金プロセスの脆弱性につけこむ高度なソーシャル・エンジニアリング戦術を用いました。IBM Security X-Forceは、攻撃者が、詐欺の信頼性を高めるために、なりすましの対象として顧客との既存の関係を有するベンダーや関連企業を慎重に選択し、組織図内の特定の人物を標的としていると考えています。

IBM Security X-Force Incident Respondersによると、一般に、攻撃者はユーザーの電子メール・アカウントに対するアクセスを最初に取得した時点から、信頼性の高い策略を準備するために基盤の確立に着手するまで1週間をかけます。

この期間中に、攻撃者は、特に財務部門のプロセスとベンダーに重点を置いて、標的となる組織の構造について徹底的な調査を実施していると想定されます。また、攻撃者は、企業に固有な電信送金ポリシーを調べるために、買掛金の担当者との会話を再開します。

攻撃者による徹底的な偵察および財務部担当者との会話中に、攻撃者は、被害者のなりすまし、正当な電信送金を行うために必要な社内文書の発見およびなりすまし、より地位の高い役員を装うための複数のドメインと電子メールの設定などの行動を取りました。

攻撃者は、侵害した電子メール・アドレスから、標的に電子メールを直接送信します。被害者がその電子メールに気付かないように、攻撃者は、被害者の受信箱から電子メールを排除する電子メール・ルールを作成します。攻撃者は、攻撃を受けたユーザーが返信を受け取らないように、「Reply-To」フィールドの電子メール・アドレスのスペルを変更する場合もあります。受信者が「Reply-To」フィールドを詳細に調べなければ（通常、このためには電子メール・ヘッダーを展開する必要があります）、その他の点で電子メールは正当な連絡担当者から着信したように見えます。

さらに、攻撃者は、特定の困難なスペルの変更を加えて、標的とする企業のベンダーに似ているドメインを作成します（例えば、URLの会社名に含まれる1つの文字を重複させたり、「.com」の代わりに「.net」など、異なるトップレベル・ドメイン（TLD）でベンダー名を登録したりします）。次に、このドメイン名を使用して、既知の従業員に属するように見える電子メール・アカウントを作成し、そのアカウントから電子メールが標的に直接送信されました。

1つの例では、攻撃者は新しいドメインを登録して、関連する経営陣の電子署名のコピーを含む、さまざまなレベルの管理職になりすます偽の承認メッセージを送信しました。

最後に、攻撃者は文法や口語表現をいくつか間違えることがありますが、その英語スキルは非常に高く、攻撃者によるわずかなミスは標的によって簡単に見過ごされることがあります。攻撃者は、標的の周りに偽りの現実感を生み出し、支払への緊迫感を伝え、数百万ドル規模の詐欺に成功しました。

隠蔽工作

攻撃者は、被害者のユーザーの電子メール・アドレスから通信を行うため、被害者が攻撃に気づかないように電子メール・ルールを作成しました。攻撃者は、ユーザーになりすます場合、そのユーザーの企業から配信されたすべての電子メールを自動的に削除します。これは、ユーザーが自らの受信箱に不正な通信や異常なメッセージを見つけないようするためであると考えられます。また、攻撃者は、攻撃対象のアカウントにログインせずに返信を読むために、電子メールの返信を異なる電子メール・アドレスに自動転送しました。

これとは別に、攻撃者が大量のフィッシング電子メールを送信するために盗んだ資格情報を使用する場合、攻撃者は、フィッシングに対するすべての返信、正常に送信されなかったことを伝えるメッセージ、または「hacked」や「email」などの単語を含むメッセージをユーザーのRSSフィード・フォルダーに移動し、「開封済み」としてマークする電子メール・ルールを同時に作成します。

資金の流れ

IBM Security X-Forceのインシデント・アンケートの回答者は、攻撃者が、多額の取引や通常とは異なる取引を遅延させ、または阻止する可能性が高い消費者向け銀行の口座の代わりに、香港や中国に本拠を構えるペーパー・カンパニーおよび対応する銀行口座を利用して、多額の資金を稼いでいるとみなしています。

IBM Security X-Forceの分析によると、BEC詐欺にかかわったペーパー・カンパニーは過去1年以内に登記され、一部は口座に対する支払の要求と同じ月に登記されました。FBIによると、中国と香港にある銀行は、BEC詐欺に関連する不正資金の主要な電信送金先となっています。

推奨事項

攻撃者は、より信頼されやすい詐欺を考案し、偽造された電子メールの特定を一層困難にするために、技術を高め続けています。フィッシングの脅威とBEC詐欺に関して従業員をトレーニングするだけでは、必ずしも十分ではありません。主要なセキュリティー機能を導入し、社内プロセスを再検討することは、ローテクなソーシャル・エンジニアリング攻撃の標的となるリスクを低下させるために役立つことがあります。

• アカウントのログインに対する2要素認証の導入：多要素認証によって、詐欺師が、大量のフィッシングとなりすましのログイン・ページのみを通じて盗んだ資格情報を利用することが制限されます。
• 外部の電子メール・アドレスから着信した電子メールを特定するバナーの作成：簡単に特定できるバナーによって、従業員は、視覚だけではスペルの変更を見付けることが困難な場合でも、電子メールがスプーフィング（なりすまし）攻撃された場合にただちに判断することができます。
• 組織外に電子メールを自動転送する機能のブロック：自動転送ブロックによって、攻撃者は、代替的な電子メール・アカウントに電子メールを転送できなくなり、盗んだ資格情報で被害者のアカウントにログインせざるをえなくなります。このため、被害者が不審なアクティビティーに気づく可能性が高まります
• 厳格な社内電信送金ポリシーの導入：財務取引にかかわる従業員は、BEC詐欺に関する十分な情報と共に、役割別のトレーニングを受ける必要があります。口座へのアクセス権を有する従業員には、受け取った電子メールの正当性を確認するために、デジタル証明書の使用を要求すべきです。また、海外取引に対する強制的な遅延時間要件を設定すると、攻撃者が緊迫感を伝え、従業員に性急な行動を取らせることを制限できます。
• ベンダーの確認：何か異常を感じた場合、口座が変更された場合、電信送金の金額が通常要求されるよりも高い場合、従業員が確認済みの電話番号を使用してベンダーに連絡を取ることを忘れないようにする必要があります。送金/口座の変更を要求していると思われる従業員から直接、または電話を通じて承認を受けるよう要求することは、組織が詐欺による電信送金を発生前に防ぐために役立つ可能性があります。

セキュリティー侵害の兆候

以下に、BEC詐欺攻撃を行っている攻撃者による利用が確認されたIPアドレスを示します。IBM Security X-Forceの研究者は、複数のインシデントにわたって同じ基盤が利用されたケースを確認していません。しかし、IBM X-Forceによるスパム・ハニーポットの分析により、以下のIPアドレスの30%が、他の悪意あるスパム活動にも利用されていることが判明しました。

IBM X-Forceが発行するその他の最新レポートはこちら