BEC詐欺はメール転送が起因となっている

米国フィラデルフィアのフードバンクがビジネスメール詐欺（BEC）被害に遭い、9000万円以上の活動資金を失った様です。

今年の初め、それは新しい1200万ドルのコミュニティキッチンを完成させる過程にありました。それは、マネージャーが建設会社のサプライヤーであると考えたものから請求書が送られたときです。

しかし、フィラデルフィアインクワイアラーによると、実際には電子メールは攻撃者によって偽装され、923,533ドルが失われました。さらに悪いことに、会社は合法的なサプライヤーに支払うために同じ金額を見つけなければなりませんでした。

非営利団体が古典的なBEC詐欺に見舞われたように見えます。この詐欺では、攻撃者が従業員の電子メールアカウントを侵害し、送受信されるメッセージを黙って監視します。

次に、被害者の組織に警告を発しないように、入ってきたと予想される時間に正規のサプライヤからなりすましの請求書を送信します。特定のメールは、トラックを非表示にするために削除されます。

（Infosecuerity Magazine記事より引用）※機械翻訳

キタきつねの所感

コロナ禍において貧困層はより厳しい状況に置かれ、それを救済しようとするフードバンク等のボランティア組織も寄付金を集めるのが大変になっている中であっても、ビジネスメール詐欺は容赦なく組織を攻撃してきています。

2020年の10大脅威では、ビジネスメール詐欺の脅威が増している（組織3位）と発表されていましたが、2重恐喝が猛威を振るっている事を考えると、恐らく今年は順位を下げる気がします。

www.ipa.go.jp

しかし海外では、ビジネスメール詐欺事件も結構発生している様です。FBIが11/25に出したアラートでは、2019年、BEC詐欺によって全世界で17億ドル（約1766億円）の損失が出ていると報じており、今年の数字ではないものの、いくつかの脆弱点に対しての注意喚起が最近出たという事から考えると、上記のフードバンクの様な被害が多発している事が予想されます。

f:id:foxcafelate:20201204055730p:plain

FBIのアラートの中身を見ていくと、２つの脆弱性が狙われている（トレンドとなっている）様です。

　・ウェブメールの自動転送ルール

　・ウェブメールとデスクトップメールの非同期

少し機械翻訳の品質が悪いのですが、アラート内容を貼っておきます。

脅威の概要
BECは、電信送金や電子決済などの電子決済を行う企業をターゲットにした巧妙な詐欺です。
自動化されたクリアリングハウスの転送。サイバー犯罪者が最初にビジネスメールアカウントを侵害するソーシャルエンジニアリングやコンピュータ侵入技術を利用して最初の侵入に続いて、サイバー犯罪者はシステムへのアクセスを利用して、被害者の電子メール通信の偵察を行います。
危険にさらされたアカウントから集められた情報と最初の侵入に続いてシステムにアクセスした後、サイバー犯罪者が従業員になりすまして詐欺的な銀行口座に保留中または将来の支払いをリダイレクトするための電子メール通信。BECアクター従業員の資格情報を取得した後、メールアカウント内に自動転送ルールを作成して、従業員の資格情報を減らします。
詐欺的な通信を監視する被害者の能力を向上させます。
サイバー犯罪者は、被害者の電子メールアカウントにアクセスした後、自動転送の電子メールを更新します。ルールを使用しています。管理者がウェブとデスクトップの電子メールを積極的に同期しない場合クライアントの場合、自動転送ルールはウェブクライアントにのみ表示され、ルールの可視性はセキュリティ管理者。IT 担当者は伝統的にセキュリティを介して自動アラートを実装しています。
監視アプライアンスは、ルールの更新がネットワーク上に表示されたときに警告するために、そのようなアラートを見逃す可能性があります。
ウェブベースの電子メールを使用して、リモート・ワークステーションの更新を行うことができます。企業がネットワークを構成していない場合
従業員のウェブベースの電子メールを社内ネットワークに同期させることを日常的に行っている場合、侵入が残されている可能性があります。
（FBIアラートから引用）※機械翻訳

最近の事例として2例挙げられているので、こちらの機械翻訳も貼っておきます。

※こちらも機械翻訳の質があまり良くありません

2020年8月、サイバー犯罪者は、最近アップグレードされたばかりの米国に本社を置く医療機器会社のWebクライアント。にウェブメールが同期されませんでした。
デスクトップアプリケーションではRSSが有効になっていませんでしたが、被害者の会社では気づかれず、デスクトップクライアント上での自動転送ルールのみが守られていました。デスクトップアプリケーションではRSSも有効になっていませんでした。
BECのアクターは、ネットワークへのアクセス権を得た後、国際的に知られている企業になりすましてベンダーのことです。行為者は、被害者と似たスペルのドメインを作成し、通信を業者が英国のＩＰアドレスを使用して、支払いの可能性をさらに高めるために業者は、そのような場合には
俳優は被害者から17万5000ドルを得た。

（FBIアラートから引用）※機械翻訳

穴となったのは、ウェブメールの自動転送ルールへの監視（されてなかった）だった様です。

2020年8月の別の事件では、同じ俳優が3つの転送ルールを作成しました。
製造業の企業が使用しているWebベースの電子メール。最初のルールでは、「銀行」、「支払い」、「請求書」、「電信送金」、「小切手」という検索キーワードを持つメールはすべて自動転送されます。
サイバー犯罪者の電子メールアドレス他の2つのルールは送信者のドメインとが再び同じメールアドレスに転送されました。
Microsoft Office 365を利用している組織を標的としたBECアクターについては3 2020年3月3日民間企業告示（PIN-20200303-001）「サイバー犯罪者がビジネスを行うクラウドベースの電子メールサービスを悪用した電子メールの危殆化、米企業のコストを大幅に上回る20億ドル" さらに、2019年11月7日の民間企業届出書（PIN-20191107-）には001）、「サイバーアクターが定期購読ベースの商業データベースを活用して電子メールをビジネスに活用する建設会社への詐欺」、BEC事業者が類似ドメインを登録していることを詳述

（FBIアラートから引用）※機械翻訳

2例目はキーワードで引っかけて自動転送した事例です。実際に支払いが必要なタイミングまで攻撃者は待っている状態なので、いくら経理部門が警戒していたとしても、騙されてしまう可能性がある、そうした意味では（経理部門や経営層のアカウントからの）自動転送に関しては監視、制限する事が必要な気がします。

FBIの推奨策（緩和策）は以下の通りです。

推奨される緩和策
・デスクトップアプリケーションとウェブアプリケーションの両方が同じバージョンで実行されていることを確認してください。
・適切な同期と更新を行ってください。
・確立された電子メールアカウントのアドレスが直前に変更されないように注意してください。
・メールアドレスがわずかに変更されていないかどうかを注意深くチェックし、不正なアドレスがないかどうかを確認してください。
・すべてのメールアカウントで多要素認証を有効にする。
・外部アドレスへの電子メールの自動転送を禁止します。
・Email Exchangeサーバーを頻繁に監視して、設定やカスタムルールが変更されていないかどうかを確認します。
・特定のアカウントを指定します。返信」のメールアドレスが"from "メールアドレス
・組織外からのメッセージにメールバナーを追加する。
・POP、IMAP、SMTPなどのレガシーな電子メールプロトコルの必要性を考慮して、以下のことが可能です。多要素認証を回避するために使用されます。
・メールボックスのログインと設定の変更がログに記録され、少なくとも90日間保持されるようにする。
・フィッシング対策やスプーフィング対策など、悪意のあるメールをブロックするセキュリティ機能を有効にする。方針を示しています。

・従業員に不審な支払い要求の明確化を要求するように促す取引を承認する前に、管理者に報告してください。

（FBIアラートから引用）※機械翻訳