1. HOME
  2. Blog
  3. Blog
  4. Barracuda Threat Spotlight(バラクーダが注目する脅威):アカウント乗っ取り【メールセキュリティ】

Info.

お知らせ

Blog

Barracuda Threat Spotlight(バラクーダが注目する脅威):アカウント乗っ取り【メールセキュリティ】

拡散する攻撃からOffice 365アカウントを保護してください。

バラクーダの調査担当者によって、最も急拡大しているメールセキュリティ攻撃の一つであるアカウント乗っ取りが驚くほど増加していることが判明しました。また、バラクーダのお客様へのアカウント乗っ取りを分析した最近の結果によると、企業の29%が2019年3月にOffice 365アカウントを攻撃者に乗っ取られたことが判明しています。この3月だけで150万件以上のスパムメールなどの悪意のあるメールが、このような乗っ取られたOffice 365アカウントから送信されました。

攻撃者は、さまざまな方法でアカウント乗っ取りを実行しました。また、事前にデータ侵害で盗み出したユーザ名とパスワードを悪用する場合もありました。攻撃者が盗み出した認証情報を再利用し、他のアカウントにアクセスできた理由は、ユーザが同じパスワードを複数のアカウントに使用する場合が多いためです。攻撃者は、盗み出したパスワードで個人メールアドレスにアクセスして、勤務先メールアドレスにもアクセスしようとします。ユーザは、推測しやすく非常にわかりやすいパスワードを使用し、十分な頻度では変更しないため、攻撃者はブルートフォース攻撃でもアカウント乗っ取りを実行します。攻撃はSMS(ショートメッセージサービス)などのWebアプリケーションとビジネスアプリケーションでも実行されます。

すべてのグローバル企業の半数以上がOffice 365を使用しており、この使用は引き続き急速に増加しているため、攻撃者は企業とそのデータへの入口であるアカウントを乗っ取ることに注力してきました。アカウント乗っ取りは攻撃者にとって利益をもたらします。

アカウント乗っ取りを検出および防止できるように、攻撃とソリューションについて詳細に説明します。

主要な脅威

アカウント乗っ取り: 攻撃者は、ブランドインパーソネーション、ソーシャルエンジニアリング、およびフィッシングを悪用して、認証情報を盗み出し、Office 365アカウントにアクセスします。攻撃者は、アカウントを乗っ取ると、事業の運営方法、使用されているメール署名、および金融取引の処理方法を知るために、企業の活動を監視および追跡するため、他のアカウントの認証情報を盗み出すなどの攻撃を実行できます。

詳細

Office 365アカウント乗っ取りは侵入から開始します。攻撃の3分の1が偽装しているとおり、攻撃者は、世界で最も偽装されているブランドであるマイクロソフトを偽装し、ソーシャルエンジニアリングを実行して、受信者をフィッシングサイトにアクセスさせ、認証情報を漏洩させようとします。

攻撃者は、アカウントを乗っ取っても、攻撃をすぐに実行することはほとんどありません。実際は、攻撃を実行する機会を最大限に活用するために、企業のメールを監視し、活動を追跡します。攻撃者は、偵察の一環として、乗っ取ったアカウントから送信したすべてのメールを隠蔽または削除するためのメールボックスルールを設定する場合が多いです。バラクーダの調査担当者が2019年3月に行った分析では、攻撃者は乗っ取った約4,000個のアカウントの34%で実行したアクティビティを隠蔽するための悪意のあるルールを設定しています。

攻撃者は、偵察を行った後に、盗み出した認証情報を悪用して、スピアフィッシングとブランドインパーソネーションによって、価値の高い他のアカウント、特に役員と財務部門の従業員の認証情報を盗み出そうとします。たとえば、メールを悪用して、有名企業、一般的なビジネスアプリケーションなどの信頼できるブランドを偽装します。通常、攻撃者は受信者に認証情報を漏洩させるか、悪意のあるリンクをクリックさせようとします。また、インパーソネーションを説得力のあるものに見せるために、ドメインスプーフィングまたは類似ドメインを悪用する場合が多いです。

攻撃者は、乗っ取ったアカウントを悪用して、個人情報、財務情報、および機密情報を盗み出し、なりすまし、詐欺などの犯罪を行って、攻撃から金銭を得ます。また、乗っ取ったアカウントを悪用して、パートナーとカスタマへの社外攻撃を実行します。会話乗っ取りでは、電信送金または他の金融取引の間などに、重要な会話またはスレッドに割り込みます。

ビジネスの保護

AI(人工知能)の活用

攻撃者は、ゲートウェイとスパムフィルタをバイパスするように、メール攻撃を高度化しています。このため、BEC(ビジネスメール詐欺)、ブランドインパーソネーションなどのスピアフィッシングを検出および防止するソリューションを導入することが非常に重要です。悪意のあるリンクと添付ファイルを検索するだけではない専用のテクノロジを導入してください。ML(機械学習)で社内の通常のコミュニケーションパターンを分析すると、攻撃の可能性がある異常を検出できます。

アカウント乗っ取り対策の導入

最も壊滅的なスピアフィッシングの一部は乗っ取られたアカウントから実行されるため、自社がスピアフィッシングを実行するための基地として悪用されていないことを確認してください。アカウントがいつ乗っ取られたかをAIで認識し、ユーザにアラートし、乗っ取られたアカウントから送信された悪意のあるメールを削除して、アカウントをリアルタイムに修復するテクノロジを導入します。

MFA(多要素認証)の使用

MFAは、2要素認証または2段階認証とも呼ばれており、認証コード、指紋、網膜スキャンなど、ユーザ名およびパスワード以上のセキュリティレイヤを追加するものです。

メールボックスルールと疑わしいログインの監視

通常とは異なる場所とIPアドレスからのログイン、アカウント乗っ取りの可能性などの疑わしいアクティビティを検出するためのテクノロジを使用します。また、メールボックスルールはアカウント乗っ取りの一環として悪用される場合が多いため、悪意のあるメールボックスルールがメールアカウントに設定されていないかを必ず監視してください。攻撃者は、アカウントにログインし、転送ルールを作成し、アカウントから送信したすべてのメールを隠蔽または削除して、証拠を隠蔽しようとします。

従業員が攻撃を認識および報告できるようにするためのユーザトレーニング

スピアフィッシングに関するユーザ教育をセキュリティ意識トレーニングの一環として行ってください。従業員が攻撃を認識し、攻撃が詐欺であることを理解し、攻撃の報告方法を知ることができるようにします。メール、ボイスメール、およびSMSにフィッシングシミュレーションを使用して、従業員がサイバー攻撃を認識できるようにするためのユーザトレーニングを行い、トレーニングの効果をテストし、最も攻撃を受けやすいユーザを評価します。電信送金、ギフトカードの購入などのメールによる依頼を確認するための手順を導入するガイドラインを作成して、従業員が金銭的損害の大きいミスを犯さないようにします。

*本内容は下記 Barracuda Blog 記事の抄訳です:

Threat Spotlight: Account Takeover

https://blog.barracuda.com/2019/05/02/threat-spotlight-account-takeover/

Related posts