Fox on Security

セキュリティリサーチャー(インシデントアナリスト)で、セキュリティコンサルタントのキタきつねの独り言。専門はPCI DSS。

O365やGmailを悪用したBEC攻撃へのFBI警告

FBIがO365やGoogle G Suiteを悪用したビジネスメール詐欺攻撃にアラートを出したとBleeping Computerが報じていました。

www.bleepingcomputer.com


「2014年1月から2019年10月までに、インターネット犯罪苦情センター(IC3)は、Microsoft Office 365およびGoogle G Suiteを対象としたBEC詐欺による実際の損失で合計21億ドルを超える苦情を受けました。」

(Bleeping Computer記事より引用)※機械翻訳

 

 

キタきつねの所感

FBIのアラートに関する元ソースは、PIN(Private Industry Notification)という個別業界向けの注意喚起である為か、FBIのHPを探しても出てきませんでしたが、3月3日のアラート(PIN 2020303-001)の様です。※別な海外ソースにも同じ内容が掲載されていたのでアラートが出ているのは間違いないかと思います。

 

注意喚起の内容には日本でも利用が多いMicrosoft」と「Google」のソフトが含まれている事を考えると、日本においても留意すべき内容があると考えるべきだと思います(※とは言え、日本だと何故か両社が入るこうした海外記事は報じられない事が多い気がします)

 

ターゲットは、大規模なフィッシングキャンペーンを介してこれらのBEC攻撃の一部として使用されるフィッシングキットにリダイレクトされます。フィッシングキットは電子メールサービスに対応しており、「侵害された資格情報の各セットに関連付けられたサービス」を検出できます。

「被害者の電子メールアカウントを侵害すると、サイバー犯罪者はコンテンツを分析して金融取引の証拠を探します」とFBIは説明します。

「サイバー犯罪者は、侵害されたアカウントから収集した情報を使用して、侵害された企業とベンダーや顧客などの第三者との間の電子メール通信を偽装します。

(Bleeping Computer記事より引用)※機械翻訳

 

少し抽象的な文章ですが、O365やGmail等を偽装したフィッシングメール>フィッシングサイト誘導>認証情報の窃取>電子メール情報の分析>金融取引相手を装ったBECメール・・・という一般的な流れが書かれています。

他に気になったのは、フィッシングキットの部分で、この表現から「一連の作業(の一部)が自動化」されている可能性を感じました。

 

ここまでは、電子メールで振込先を変更する一般的なビジネスメール詐欺(BEC)について書かれているのですが、更に続いて書かれていました

 

詐欺師は、侵害された組織の従業員またはそのビジネスパートナーになりすまし、攻撃者の管理下にある銀行口座への支払いをリダイレクトしようとします

(Bleeping Computer記事より引用)※機械翻訳

 

メール詐欺(=振込先変更)だけでなく2段階攻撃になっていて、「いかにも親切心で取引銀行のURLをメールに付ける」事で、銀行の認証情報を窃取する攻撃に発展するのだと、この部分を読んでいて背筋が寒くなりました

 

Office365やGoogle G Suiteの偽ログイン画面(フィッシング)に引っかかる経営陣や経理担当は、取引銀行口座のオンラインバンキングの偽ログイン画面(2度目のフィッシング)にも引っかかりやすいのは容易に想像できます。

この攻撃が完全に成功すると、会社の口座から資金が全て無くなってしまう可能性もありそうです。この部分を考えると、FBIが2014年~2019年で21億ドル(※約221億円)の被害が出ていると言うのも分かる気がします。

 

攻撃者としては、高額の振り込み(詐欺)があれば成功なのですが、更に会社の口座そのものを狙う。理にかなっています。

 

また、他のフィッシング攻撃を仕掛けたり、他のビジネスを危険にさらしたりするために使用できる潜入メールアカウントから多くのパートナーの連絡先を盗み同じ業界セクター内の他のターゲットにピボットします。

(Bleeping Computer記事より引用)※機械翻訳

 

仮に攻撃が成功しなかったとしても、次の対象を狙う基礎データ(連絡先や取引メール)を入手する。FBIの警告には日本企業も考えるべき所が多いのではないでしょうか。

 

最後に、BEC攻撃へのFBIの対策部分も参考まで転記します。

(※上部がIT管理者向け、下部がユーザ向け)

FBIは、IT管理者がBEC攻撃を防ぐためにネットワークに実装できる多くの防衛勧告を発行しました。

外部アドレスへの電子メールの自動転送を禁止します。
•組織外からのメッセージに電子メールバナーを追加します。
•多要素認証を回避するために使用できるPOP、IMAPSMTPなどのレガシー電子メールプロトコルを禁止します。
•メールボックスログオンと設定の変更が記録され、少なくとも90日間保持されるようにします。
外部ログインなどの不審なアクティビティのアラートを有効にします。
フィッシング対策やスプーフィング対策などの悪意のある電子メールをブロックするセキュリティ機能を有効にします。
Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、およびDomain-based Message Authentication Reporting and Conformance(DMARC)を設定して、なりすましを防止し、電子メールを検証します。
•レガシーアカウント認証を無効にします。


エンドユーザーは、BEC詐欺師から身を守るために次の措置を取ることもできます。

•すべてのメールアカウントで多要素認証を有効にします。
•すべての支払いの変更と取引を直接または既知の電話番号で確認します。
BEC詐欺について従業員を教育します。これには、フィッシングメールを識別する方法や疑わしい侵害への対応方法などの予防戦略が含まれます。

(Bleeping Computer記事より引用)※機械翻訳

 

 

本日もご来訪ありがとうございました。

Thank you for your visit.

 

 アメリカの警察官のイラスト(男性)

 

更新履歴

  • 2020年3月7日 PM(予約投稿)