セキュリティとストレージのリーディングカンパニー|バラクーダ > ブログ > バラクーダネットワークス > サイバー犯罪者の財源となる偵察となりすまし

サイバー犯罪者の財源となる偵察となりすまし
Michael Van Pelt

2017年08月31日

今回のBarracuda Researchによる記事では、スピアフィッシング対策を講じていなかった企業が狙われた攻撃を取り上げます。   財務取引に未承認メールを使用することがいかに危険であるか、おわかりいただけるでしょう。

この攻撃では、まず経理担当責任者のPCがマルウェアに感染しました。これにより、この責任者が受信した全メールのコピーが、「フリーメール」ドメインにあるメールアドセスに転送されました。

この未承認メールアカウントを使って経理責任者のメールを監視していた攻撃者は、すぐにアクションを起こします。というのは、大きな金額の取引に関するメールが受信されたからです。

攻撃者は監視していたメールの情報をもとに、“from”にサプライヤ、“Reply‑To”に自分のアドレスを埋め込んだメールを偽造しました。

 From: invoice@supplier.com

   Subject:Our revised invoice with updated bank info

   Reply-To: invoice@supplier.com <thief@free-email.com>

   To: purchasing@victim-company.com

 Please find revised Invoice with our updated bank details for payment transfer.(更新された明細書を添付します。送金の詳細が記載されています。)

   添付ファイル:Updated-Invoice.pdf

この方法で、犯罪者は金銭の窃取に成功します。味をしめた攻撃者は、その後2週間にわたって複数の取引先になりすまして送金を依頼し、自分のアドレスにメールを転送しました。犯罪者はなりすましのメール内に、この企業とサプライヤがやりとりした実際のメールの内容を引用していました。

また、「なぜ海外銀行の口座を使用するのか」という質問に対して、変更を「承認」する署名付きドキュメントの画像を添付しています。承認のレターと署名は、経理責任者が受信したメールに添付されていたドキュメントをもとに作成されたものでした。

最終的に、何人かの従業員がなりすましメールに気付き、犯罪は発覚します。ところがそのときには、すでに多額の損害が発生していたのです。

以上の攻撃には、複数の脆弱性が悪用されています。   1つは、経理責任者のPCが感染していたマルウェアです。マルウェアが盗聴器の役割を果たし、犯行に必要な情報が窃取されました。2つ目は、従業員へのなりすましです。これにより、ターゲットとなる取引の担当者に近付くことができました。このタイプの攻撃については、スピアフィッシングとサイバー詐欺に関するブログ記事Threat Spotlightシリーズのブログ記事をご覧ください。

Barracuda Sentinelは、このようなサイバー犯罪への対策としてDMARC(Domain-based Message Authentication Reporting and Conformance)を使用しています。このサービスは、複数の兆候から特徴的なコミュニケーションのパターンを識別し、メッセージの内容を分析して機密性の高い情報を特定します。Barracuda Sentinelは、このメッセージングインテリジェンスを組み合わせることで、メールがスピアフィッシング攻撃に悪用されているかどうかを高精度で判断します。Barracuda Sentinelについて詳しくは、こちらをご覧ください。


*本内容はBarracuda Product Blog 2017年 7月25日 Reconnaissance and impersonation pay off for cyber criminals を翻訳したものです。


コラム(バラクーダブログ)一覧へ

お問い合わせ

CONTACT