バラクーダが注目する脅威: メールアカウント乗っ取り(メールセキュリティ)
トピック: メール保護
2020年2月6日、Asaf Cidon
攻撃者はメールアカウント乗っ取りを検出されないようにする新しい方法を見いだしています。
最近、バラクーダとカリフォルニア大学バークレー校の調査担当者がメールアカウント乗っ取りと攻撃タイムラインに関する大規模な分析を行った結果、攻撃者がメールアカウント乗っ取りを検出されないようにするためのアクティビティ、ユーザがメールアカウント乗っ取りの可能性がある疑わしいアクティビティを検出するための方法、およびユーザがビジネスを保護するための対策が判明しました。
主な調査結果の概要
- 攻撃は長期間にわたって実行されている。つまり、アカウントが乗っ取られた直後に実行されるとはかぎらない。
- 攻撃者は場所についてさらに巧妙になっている。つまり、乗っ取ったアカウントと類似の地域および国に関係しているIPアドレスから、フィッシングメールを送信しているだけでなく、他のアクティビティも実行している。
- IPアドレスとISP(インターネットサービスプロバイダ)からは重要な手がかりを得ることができる。つまり、攻撃者は乗っ取ったアカウントと異なるISPに属する匿名IPアドレスを使用する傾向がある。
詳細なタイムライン分析、進化する攻撃について判明した事実、攻撃を検出および防止するために役立つベストプラクティスとソリューションなど、ATO(アカウント乗っ取り)について詳細に説明します。
#アカウント乗っ取り攻撃 の詳細なタイムライン分析:サイバー犯罪者の進化する戦術について確認が必要です。
主要な脅威
メールアカウント乗っ取り: 攻撃者は、ブランドインパーソネーション、ソーシャルエンジニアリング、およびフィッシングを悪用して、認証情報を盗み出し、メールアカウントにアクセスします。攻撃者は、アカウントを乗っ取ると、ビジネスの運営方法、使用されているメール署名、および金融取引の処理方法を知るために、企業の活動を監視および追跡するため、他のアカウントの財務情報と認証情報を盗み出すなどのフィッシングを実行できます。
詳細
攻撃者は、さまざまな方法でATOを実行します。また、事前にデータ侵害で盗み出したユーザ名とパスワードを悪用する場合もあります。攻撃者が盗み出した認証情報を再利用し、他のアカウントにアクセスできる理由は、ユーザが同じパスワードを複数のアカウントに使用する場合が多いためです。攻撃者は、盗み出したパスワードで個人メールアドレスにアクセスして、勤務先メールアドレスにもアクセスしようとします。ユーザは、推測しやすく非常にわかりやすいパスワードを使用し、十分な頻度では変更しないため、攻撃者はブルートフォース攻撃でもATOを実行します。攻撃はSMS(ショートメッセージサービス)などのWebアプリケーションとビジネスアプリケーションでも実行されます。
調査担当者は、ATOの詳細なタイムライン分析を行うために、バラクーダのAI(人工知能)による複数の検出機能を組み合わせて、2019年8月にアカウントが乗っ取られたユーザのリストをまとめました。また、1つの乗っ取られたアカウントをユーザXとして選択し、最初のログイン前後のMicrosoft Azureのログインプロパティとメールアクティビティを分析しました。調査担当者は、バラクーダの検出機能から取得したデータだけでなく、メールの件名、本文、送信元IPアドレス、および使用されたマイクロソフトアプリケーションのIPアドレス、ログイン時間、実行されたアクティビティにもアクセスできました。
下記のタイムラインには最初のログイン以降の3週間でユーザXのアカウントに実行された疑わしいアクティビティの3つの属性が記載されています。つまり、日時(UTC、協定世界時)、アクティビティが実行された場所(IPアドレスの位置情報に基づく国または米国の州)、および実行されたアクティビティです。
攻撃タイムライン
日時 | 場所 | アクティビティ |
2019-07-25T22:25:44 | インドネシア | ログイン |
2019-08-07T05:56:45 | 米国アリゾナ州 | ログイン |
2019-08-07T05:56:46 | 米国アリゾナ州 | メール送信 |
2019-08-07T12:43:07 | 米国アリゾナ州 | ログイン |
2019-08-07T12:43:07 | 米国アリゾナ州 | ログイン |
2019-08-07T12:43:08 | 米国アリゾナ州 | メール送信 |
2019-08-09T19:46:35 | 米国アリゾナ州 | ログイン |
2019-08-09T19:46:36 | 米国アリゾナ州 | メール送信 |
2019-08-09T21:26:24 | 米国ニューヨーク州 | ログイン |
2019-08-09T21:26:25 | 米国ニューヨーク州 | メール送信 |
2019-08-09T22:51:00 | 米国アリゾナ州 | ログイン |
2019-08-09T22:51:01 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:02 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:03 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:52 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:57 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:57 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:58 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:51:58 | 米国アリゾナ州 | メール送信 |
2019-08-09T22:55:03 | ブラジル | ログイン |
2019-08-09T22:55:19 | フィンランド | ログイン |
2019-08-09T22:56:13 | 中国 | ログイン |
2019-08-09T22:56:23 | リトアニア | ログイン |
2019-08-09T22:56:53 | 中国 | ログイン |
2019-08-09T22:56:56 | 米国バージニア州 | ログイン |
2019-08-09T22:56:56 | 米国バージニア州 | メール送信 |
2019-08-09T22:56:57 | 米国バージニア州 | メール送信 |
2019-08-09T22:56:58 | 米国バージニア州 | メール送信 |
2019-08-09T22:57:23 | 米国バージニア州 | メール送信 |
2019-08-09T22:57:23 | 米国バージニア州 | メール送信 |
2019-08-09T22:57:24 | 米国バージニア州 | メール送信 |
2019-08-09T22:57:24 | 米国バージニア州 | メール送信 |
攻撃者のアクティビティの特定
調査担当者は、最初のログインの前の特徴的なアクティビティをその後の数週間のアクティビティと比較して、ユーザの通常のログイン元と異なる州と市に属するIPアドレスからのログインなど、攻撃者のアクティビティの複数の兆候を特定しました。通常、ユーザXは、米国テキサス州の2つの市からログインしています。しかし、このアカウントはインドネシア、米国アリゾナ州、ニューヨーク州、およびバージニア州から悪用されていました。
調査担当者は、このような兆候が攻撃者によるログインであることを確認するために、ユーザXが最初のログイン以降の3週間で送信したメールを分析し、フィッシングの可能性がある件名のメールがユーザXの通常のログイン元と異なるIPアドレスから送信されていることに気づきました。また、攻撃者に関係している可能性が高いログインとメールアクティビティは、ほとんどの場合、匿名IPアドレス、およびGoDaddy、GCP(Google Cloud Platform)などのホスティングサービスから実行されていました。
このような兆候は調査担当者が攻撃者のアクティビティパターンの識別を一般化するために役立ちました。
攻撃者は #アカウントの乗っ取り攻撃 における地理についてより賢くなっています。 これらの警告サインを探してください。
主な調査結果
攻撃は長期間にわたって実行されている
ユーザXへの攻撃のほとんどは2日以内に実行されていますが、最初のログインがインドネシアから実行されてから、さらに疑わしいアクティビティが実行されるまで、13日間が経過しています。
この長い時間の経過について1つの仮説を立てると、攻撃者が、時間をかけてユーザXのMicrosoft Outlookの連絡先リストから情報を収集して、偵察攻撃を実行しようとしていたということです。別の仮説を立てると、ある攻撃者が、ユーザXのアカウントを乗っ取った後、認証情報を別の攻撃者に売ったということです。
最初のログインの目的は疑問のままです。攻撃者が偵察攻撃を実行していたのか、認証情報を別の攻撃者に売っていたのかに関係なく、ATOを可能なかぎり早く検出し、迅速に修復することは、さらに損害を受けないようにするために役立ちます。
攻撃者は場所についてさらに巧妙になっている
最初のログインがインドネシアから実行された13日後の8月7日には、アリゾナ州の複数の匿名IPアドレスから、3回のログインが実行されており、2件のメールが送信されています。
2日後の8月9日には、まず、アリゾナ州とニューヨーク州から約50件のフィッシングメールが送信されています。(注: リストを簡潔にするために、50件のフィッシングメールのほとんどをタイムラインから削除しています。)次に、米国外からユーザXのアカウントのメールサーバに、複数回のログインが実行されていますが、メールは送信されていません。最後に、バージニア州に関係しているIPアドレスから、複数件のフィッシングメールが送信されています。
フィッシングメールのほとんどが米国内のIPアドレスから送信されているという事実は、攻撃者が、アクティビティのほとんどをユーザの通常の場所と類似の地域および国に関係しているIPアドレスから実行して、検出されないようにしている可能性があるということです。攻撃者は、このアプローチによって、米国内からのアクティビティを米国外からのアクティビティほど異常ではないように見せかけています。この結果、米国内の他の場所から送信されたメールをよく確認しないと、このような場所からのログインが攻撃者によるものであるかどうかを特定することは困難です。
IPアドレスとISPからは重要な手がかりを得ることができる
攻撃者はユーザの通常のISPと異なるISPに属する匿名IPアドレスを使用する傾向があります。ユーザXのアカウントから送信されるメールの送信元IPアドレスとMicrosoft Outlookへのログインで使用されるIPアドレスは1対1に対応しています。この対応はログインとメールアクティビティを攻撃者に関連付けるために役立ちます。
メールアカウント乗っ取りの防止
アカウントアクセスとメールボックスルールの監視
緻密な監視を行ってください。通常と異なる時間のログイン、通常と異なる場所とIPアドレスからのログイン、アカウントが乗っ取られた可能性などの疑わしいアクティビティを検出するテクノロジを使用します。ログインの失敗、疑わしいデバイスからのアクセスなどの他の疑わしいアクティビティを示すIPアドレスを追跡します。
メールボックスルールはATOの一環として悪用される場合が多いため、悪意のあるメールボックスルールがメールアカウントに設定されていないかを必ず監視してください。攻撃者は、アカウントにログインし、転送ルールを作成し、アカウントから送信したすべてのメールを隠蔽または削除して、証拠を隠蔽しようとします。
従業員が攻撃を認識および報告できるようにするためのトレーニング
スピアフィッシングに関する従業員教育をセキュリティ意識トレーニングの一環として行ってください。従業員が認証情報を盗み出すための攻撃を認識および報告できるようにします。メール、ボイスメール、およびSMSにフィッシングシミュレーションを使用して、従業員が攻撃を認識できるようにするためのトレーニングを行い、トレーニングの効果をテストし、最も攻撃を受けやすい従業員を評価します。電信送金、ギフトカードの購入などのメールによる依頼を確認するための手順を導入するガイドラインを作成して、従業員が損害の大きい過失を犯さないようにします。
MFA(多要素認証)の使用
MFAは、2要素認証または2段階認証とも呼ばれており、認証コード、指紋、網膜スキャンなど、ユーザ名およびパスワード以上のセキュリティレイヤを追加するものです。
AIの活用
攻撃者は、ゲートウェイとスパムフィルタをバイパスするように、メール攻撃を高度化しています。このため、BEC(ビジネスメール詐欺)、メールアカウント乗っ取りなどのスピアフィッシングを検出および防止するソリューションを導入することが非常に重要です。悪意のあるリンクと添付ファイルを検索するだけではない専用のテクノロジを導入してください。ML(機械学習)で社内の通常のコミュニケーションパターンを分析すると、攻撃の可能性がある異常を検出できます。
ATO対策の導入
最も壊滅的なスピアフィッシングの一部は乗っ取られたアカウントから実行されます。自社がスピアフィッシングを実行するための基地として悪用されていないことを確認してください。アカウントがいつ乗っ取られたかをAIで認識し、ユーザにアラートし、乗っ取られたアカウントから送信された悪意のあるメールを削除して、アカウントをリアルタイムに修復するテクノロジを導入します。
このブログはAsaf CidonがBarracuda SentinelチームのNeil ShahとGrant Hoから調査のサポートを受けて作成したものです。
製品のご紹介:Barracuda Essential, Barracuda Sentinel
原文はこちら:
Threat Spotlight: Email Account Takeover
February 6, 2020 Asaf Cidon
https://blog.barracuda.com/2020/02/06/threat-spotlight-email-account-takeover/