Barracuda Threat Spotlight(バラクーダが注目する脅威): 会話乗っ取り(Barracuda Sentinel)
トピック: Barracuda Sentinel
2020年1月16日、Don MacLennan
会話乗っ取りによって金銭と個人情報を盗み出す攻撃者に注意してください。
過去数か月間、バラクーダの調査担当者によって、ドメインスプーフィングを悪用した会話乗っ取りが急増していることが確認されています。1か月に約50万回のメール攻撃を分析した結果、ドメインスプーフィングを悪用した会話乗っ取りが400%増加したことが判明しています。具体的には、ドメインスプーフィングを悪用した会話乗っ取りの検出回数は、2019年7月に約500回でしたが、11月に2,000回以上に増加しました。
ドメインスプーフィングを悪用した会話乗っ取りは、他のタイプのフィッシング攻撃と比較すると、回数は非常に少ないですが、高度で非常にカスタマイズされているため、効果的であり、検出しにくく、損害が大きいです。
ドメインスプーフィングを悪用した会話乗っ取りの増大する脅威、およびビジネスの保護に役立つ助言について詳細に説明します。
主要な脅威
会話乗っ取り
攻撃者は、既存のビジネス上の会話に侵入するか、乗っ取ったメールアカウントなどのソースから収集した情報に基づいて新しい会話を始めます。会話乗っ取りは、ATO(アカウント乗っ取り)の一部とはかぎりませんが、そうである場合が通常です。攻撃者は、ビジネス運営を理解し、進行中の取引、支払手続きなどの詳細について学習するために、時間をかけて、メールを読んで、乗っ取ったアカウントを監視します。
攻撃者はATOを会話乗っ取りにほとんど悪用しません。通常は、ドメインスプーフィングを悪用します。つまり、巧妙なメールを作成し、偽装ドメインから送信し、受信者に電信送金を行わせるか、支払情報を更新させるために、従業員、パートナー、および顧客の間の社内と社外の会話など、乗っ取ったアカウントから収集した情報を悪用します。
詳細
攻撃者は、攻撃を実行する前に、時間をかけて会話乗っ取りを計画します。また、取引を理解し、攻撃を準備するために、ATOを悪用するか、標的とする企業を調査します。
攻撃者は、会話乗っ取りを実行するために、正規のURL内の1文字を類似の文字に置換する、気づきにくい文字を正規のURLに追加するなどのタイポスクワッティングを含むドメインスプーフィングを悪用します。また、攻撃を準備するために、偽装ドメインを登録または購入します。
ドメインスプーフィングは非常に影響の大きい攻撃です。正規のURLと偽装URLのわずかな違いを見落とす可能性は高いです。
たとえば、barracudanetworks.comを偽装しようとする攻撃者は下記のよく似たURLを悪用します。
- barracudanetworcom
- barracacom
- barracudanetecom
- barrracudanetecom
また、下記のとおり、TLD(トップレベルドメイン)を変更し、.comではなく、.netまたは.coを悪用する場合もあります。
- barracudanetworks.net
- barracudanetworks.co
下記は内部ドメインを偽装する攻撃者の例です。
下記は顧客、パートナー、またはベンダの外部ドメインを偽装する攻撃者の例です。
攻撃者は、偽装ドメインを登録し、会話を乗っ取るために、多くの時間、労力、および金銭を費やします。乗っ取られたメールアカウントの所有者は詐欺メールに気づく可能性が高いため、攻撃者は乗っ取ったメールアカウントを会話乗っ取りに悪用するとはかぎりません。通常、ATOではアカウントが長期間にわたって継続的に乗っ取られることはありませんが、会話乗っ取りでは攻撃者と受信者の間の会話が数週間にわたって継続的にやりとりされる可能性があります。このため、攻撃者は、ドメインスプーフィングを悪用する場合、会話を社外でやりとりします。この結果、乗っ取られたアカウントが保護および修復されていても、攻撃者は攻撃を続行できます。
結局、ドメインスプーフィングを悪用した会話乗っ取りの目的は、受信者に電信送金または何らかの支払を行わせるか、支払明細を変更させることです。攻撃者は、偽装ドメインを登録し、会話を乗っ取るために、時間と金銭の両方を費やす必要があります。攻撃者の視点から考えると、このようなカスタマイズされた攻撃は、他のあまり高度ではないフィッシング攻撃より成功する場合が多いため、時間と金銭を費やす価値があります。
会話乗っ取りの防止
ビジネスを会話乗っ取りから保護するには、さまざまなサイバーセキュリティテクノロジを使用します。
従業員が攻撃を認識および報告できるようにするためのトレーニング
セキュリティ意識トレーニングの一環として、会話乗っ取り、ドメインスプーフィングなどのメール攻撃について従業員を教育します。従業員が攻撃を認識し、攻撃が詐欺であることを理解し、攻撃の報告方法を知ることができるようにします。フィッシングシミュレーションを使用して、従業員が攻撃を認識できるようにするためのトレーニングを行い、トレーニングの効果をテストし、最も攻撃を受けやすい従業員を評価します。
ATO対策の導入
多くの会話乗っ取りはATOから始まるため、攻撃者がATOを会話乗っ取りに悪用していないことを確認してください。ユーザ名およびパスワード以上のセキュリティレイヤを追加するMFA(多要素認証)を使用します。アカウントがいつ乗っ取られたかを認識し、ユーザにアラートし、乗っ取られたアカウントから送信された悪意のあるメールを削除して、アカウントをリアルタイムに修復するテクノロジを導入します。
メールボックスルール、アカウントログイン、およびドメイン登録の監視
通常とは異なる場所とIPアドレスからのログイン、ATOの可能性などの疑わしいアクティビティを検出するためのテクノロジを使用します。また、メールボックスルールはATOの一環として悪用される場合が多いため、悪意のあるメールボックスルールがメールアカウントに設定されていないかを必ず監視してください。攻撃者は、乗っ取ったアカウントにログインし、転送ルールを作成し、アカウントから送信したすべてのメールを隠蔽または削除して、証拠を隠蔽しようとします。タイポスクワッティングを含むドメインスプーフィングに悪用される可能性がある新しいドメイン登録を監視してください。多くの企業は、攻撃者による詐欺に悪用される可能性を回避するために、自社に密接に関連するドメインを購入することを選択しています。
AI(人工知能)の活用
攻撃者は、ゲートウェイとスパムフィルタをバイパスするように、メール攻撃を高度化しています。このため、ATO、ドメインスプーフィングなどの攻撃を検出および防止するAIベースのソリューションを導入することが非常に重要です。悪意のあるリンクと添付ファイルを検索するだけではない専用のテクノロジを導入してください。ML(機械学習)で社内の通常のコミュニケーションパターンを分析すると、攻撃の可能性がある異常を検出できます。
社内のポリシーの強化
電信送金、および支払明細の変更を依頼するすべてのメールを確認するために、ガイドラインを作成し、手順を導入して、従業員が金銭的損害の大きいミスを犯さないようにします。すべての金融取引は、複数の関係者が対面または電話で確認および承認する必要があります。
製品のご紹介:Barracuda Sentinel
原文はこちら:
Threat Spotlight: Conversation Hijacking
January 16, 2020 Don MacLennan
https://blog.barracuda.com/2020/01/16/threat-spotlight-conversation-hijacking/