バラクーダのラテラルフィッシング攻撃に関する調査(Sentinel)
2019年12月27日、Anne Campbell
今年、バラクーダは、カリフォルニア大学バークレー校およびサンディエゴ校の調査担当者と協力して、増大するラテラルフィッシング攻撃の傾向を調査しました。ラテラルフィッシング攻撃では、攻撃者が、乗っ取ったアカウントを使用して、社内の連絡先から社外のパートナーまでの多くの受信者にフィッシングメールを送信します。この調査によると、7分の1が過去7か月間でラテラルフィッシング攻撃を受けています。
アカウント乗っ取りおよびラテラルフィッシング攻撃の詳細については、Barracuda Threat Spotlight(バラクーダが注目する脅威): ラテラルフィッシング攻撃またはスピアフィッシング: 主要な攻撃と攻撃トレンドVol. 2をご参照ください。また、バラクーダのアドバイザであり、コロンビア大学の電気工学とコンピュータサイエンスの教授であるAsaf CidonのウェビナーStop Account Takeover and Phishing Attacks From Compromised Accountsにご登録ください。
バラクーダは、この調査について詳細に説明するために、バラクーダがこの調査で密接に協力したカリフォルニア大学バークレー校の調査担当者であるGrant Hoにインタビューしました。Grantは、今年のUSENIXセキュリティシンポジウムで、この調査に関するレポートを発表しました。このレポートは、このシンポジウムで全体の1%未満しか受賞できないDistinguished Paper Awardを受賞しました。
質問: ラテラルフィッシング攻撃に注目した理由は何でしょうか。
回答: 過去数年間、乗っ取られた従業員アカウントからのラテラルフィッシング攻撃が、ますます増加しているためです。スピアフィッシング攻撃の検出に関する数年前の調査でも、ラテラルフィッシング攻撃を検出しましたが、その数は多くありませんでした。4年間のデータで検出したラテラルフィッシング攻撃は、わずか2回です。ラテラルフィッシング攻撃が存在しており、増大していることは、知っていましたが、進化するラテラルフィッシング攻撃の重大さ、その実際的な防止方法は、理解していませんでした。データがないことが大きな障壁でした。
この調査を主催したバラクーダのAsaf(Cidon)とLior(Gavish)は、私の数年前の調査について話した後に、ラテラルフィッシング攻撃についてどう考えているかを私に尋ねました。その後、私たちは協力について話しました。AsafとLiorは、バラクーダが最新の調査をサポートし、さらに優れた最新のセキュリティを構築することに非常に関心を抱いていると確約しました。また、この調査を発表すると、コミュニティが恩恵を享受できると断言しました。調査をサポートする企業と協力して、実際のデータに実際に影響する調査を行うことは、素晴らしい機会であると思われたため、この機会を逃すことはできませんでした。
#アカウント乗っ取り に関するバラクーダの最近の研究で、2つの発見が最も研究者を驚かせたものをご覧ください
質問: 詳細な調査を開始して驚いたことは何でしょうか。
回答: 驚いたことの1つは、ラテラルフィッシング攻撃の拡散です。ラテラルフィッシング攻撃は乗っ取られた従業員アカウントから実行されるため、100社のうち1社または5社しか攻撃を受けていないだろうと考えていました。しかし、攻撃を受けている企業は、はるかに多いことがわかりました。数十社を調査した結果、7社のうち1社がラテラルフィッシング攻撃を受けていました。この数字には非常に驚きました。この数字は予測よりはるかに多いためです。
この調査では、攻撃者がラテラルフィッシング攻撃をどのように巧妙化しているかを分析するために、カスタマイズしたメッセージをどのように作成しているか、受信者をどのように選択しているか、他のどのような操作をアカウント内で行っているかなどに注目しました。このため、このレポートは詳細なものになっていますが、攻撃者が時間と労力を費やしていることは当初の予測と必ずしも同じではありませんでした。驚いたことのもう1つは、この違いです。
質問: 攻撃者が時間を費やしていることは何だと予測していましたか。
回答: 攻撃者は、乗っ取られた従業員アカウントを取得し、すべてのメールを読み、カスタマイズしたメッセージを作成しようとしていると予測していました。攻撃者の一部は高度なメッセージを作成していたため、私たちは、その一部を見ることができましたが、全般的に、攻撃者のほとんどは、あまりカスタマイズしていないよくあるメッセージを使用していました。つまり、「添付したこの勤務表を確認してください。」、「この請求書を開いてください。」などのメッセージを送信していたということです。このようなメッセージは、日常の取引によくあるものであり、あまり具体的ではありません。しかし、このようなメッセージは同僚から受信する可能性が非常に高いため、非常に多くの攻撃者がこのようなメッセージを使用することは合理的です。興味深いことに、さまざまな一般的で日常的なメッセージがすべての企業に見られ、攻撃者はこのようなよくあるメッセージを再利用して受信者をだますことができるため、攻撃者は、乗っ取られた従業員アカウントを取得すると、メッセージをあまりカスタマイズする必要はありません。
アカウント乗っ取りに関する重要な3つのレッスン。 この @Barracuda研究結果から、学ぶべきだと思うものを見てみましょう。 #EmailSec
質問: この調査から得た最も重要な教訓、つまり、企業が知る必要があることは何だと思いますか。
回答: 現在、多くの企業の役員はネットワーク境界で攻撃を防止することについて考えています。つまり、社外の送信者と組織からの攻撃を防止することについて考えているということです。一方、ラテラルフィッシング攻撃は、乗っ取られた従業員アカウントから実行されるため、パラダイムシフトをもたらしています。非常に多くのセキュリティテクノロジでは、社外からの攻撃を防止することについて考えられてきました。一方、バラクーダと協力したこの調査では、新しいテクノロジの開発に着手するか、ラテラルフィッシング攻撃を防止する機能を既存のテクノロジに実装することについて考えました。
1つの教訓は、受信者とセキュリティシステムが社外からの攻撃を防止することに注力しており、攻撃者がその事実にますます慣れているため、攻撃者は、従業員アカウントを乗っ取って企業に侵入するだけで、はるかに簡単で効果的に社内から攻撃を実行できるということです。社外からの攻撃だけでなく、社内からの攻撃も防止する必要があるというこの教訓は非常に重要です。
もう1つの教訓は、受信者に責任はありませんが、受信者がフィッシング攻撃をますます検出しにくくなっていることです。私たちは攻撃者が進化しているというフィッシング攻撃に関するさまざまな助言を長い間、受信者に与えてきました。たとえば、フィッシング攻撃に関するよくある助言は、「送信者が、巧妙ななりすましではなく、本人のアカウントであることをチェックする。」です。しかし、ラテラルフィッシング攻撃では、この助言は役立ちません。攻撃者は乗っ取った本人のアカウントを使用しているためです。ラテラルフィッシング攻撃を自分で検出することは、セキュリティトレーニングを受けているかどうかに関係なく、すべての受信者にとって、ますます困難になっているため、ラテラルフィッシング攻撃の防止に役立つ自動的なシステムが必要です。
製品のご紹介:Barracuda Sentinel
原文はこちら:
Behind the scenes on Barracuda’s account takeover research
December 27, 2019 Anne Campbell
https://blog.barracuda.com/2019/12/27/behind-the-scenes-on-barracudas-account-takeover-research/