Barracuda Threat Spotlight(バラクーダが注目する脅威): 教育機関に対するスピアフィッシング攻撃
トピック: コロナウィルス(COVID-19)、メール保護、K-12教育
2020年10月29日、Mike Flouton
多くの学校と大学は、遠隔地にあるため、教師、校長、および学部長からの最新情報を受け取るために、メールに大きく依存しています。攻撃者は、この状況を理解および悪用しています。
バラクーダの調査担当者は、2020年6月から9月まで、学校、大学など、1,000以上の教育機関に対する攻撃を含む350万件以上のスピアフィッシング攻撃を評価しました。
バラクーダの調査によると、教育機関は一般的な企業より2倍以上もBEC(ビジネスメール詐欺)攻撃を受ける可能性が高いことがわかりました。実際、教育機関に対するスピアフィッシング攻撃の4分の1以上は巧妙なBEC攻撃でした。
最近、学校と大学は、このようなBEC攻撃によって、壊滅的な損害を受けています。
- 米国テキサス州のMISD(Manor Independent School District)は学校の業者との正常に見える取引で230万ドルの損害を受けました。
- 攻撃者は、詐欺メールを悪用して、米国ケンタッキー州のScott County Schoolsから370万ドルを盗み出しました。
バラクーダの調査担当者が発見した攻撃者が学校を攻撃する方法の傾向、および教育機関がこのような攻撃を防止するために使用できるソリューションについて詳細に説明します。
主要な脅威
学校に対するスピアフィッシング攻撃 ― スピアフィッシングは特定の組織と個人に対する標的型フィッシング攻撃であり、攻撃者は、教育など、さまざまな業界に対する攻撃方法を常に巧妙化しています。
バラクーダの調査によると、攻撃者は夏の間、全体的に均等に教育機関を攻撃しており、9月には攻撃件数が増加しています。一方、学校が夏休みで休校になる7月と8月には、教育機関に対するスピアフィッシング攻撃が大幅に減少しています。このような月には攻撃件数が平均より10~14%も減少しており、生徒が戻ってきた9月には大幅に増加しています。
攻撃者は、夏休み中に学校に対する攻撃のタイプを調整しました。7月と8月には、学校に対する攻撃は、あまり標的型ではなく、大規模に実行される場合が多いメール詐欺が中心でした。
また、サービスインパーソネーションを含むフィッシングなどの標的型攻撃は、学校の期間中に多く見られました。6月と9月には、このような攻撃が学校に対するスピアフィッシング攻撃のほぼ半分を占めていました(それぞれ47%と48%)。この数は、学校が夏休みの7月には半分以上に減少しました。バラクーダの調査担当者は、BEC攻撃についても同様の傾向を確認しており、このような攻撃の数は学校の時間中に増加しています。他の業界では、攻撃のタイプ別の分布は月をまたいでも比較的安定していました。
詳細
バラクーダの分析によると、攻撃者は、Gmailアカウントを悪用して、教育機関に対するBEC攻撃の86%を実行しています。組織全体に対する攻撃でも同様の傾向が見られ、攻撃者はGmailアカウントをBEC攻撃に好んで悪用しています。攻撃者がGmailなどの有名なメールプロバイダを好んで悪用する理由は、Gmailは、登録が簡単で無料であり、高度な標的型BEC攻撃に適しているとの評判が高いからです。
また、攻撃者は、「校長」、「学部長」、「学校」、「学長」などの用語を悪用して、悪意のあるメールアドレスをカスタマイズし、さらに説得力のあるものに見せかけています。今回の分析によると、学校に対するBEC攻撃で悪用されたメールアドレスは下記のとおりです。
- headofdepartment600@gmail.com
- pprincippaledu@gmail.com
- boardofdirectors2334@gmail.com
- school_principal007@my.com
- headofschoolmail2000@gmail.com
- presidentedu2002@gmail.com
- principalmail142@gmail.com
- theschoolprincipalerin@gmail.com
攻撃者は、関連性の高い標的型の件名を作成して、受信者の注意を引きつけ、緊急性を感じさせるようにします。下記のとおり、今回の分析によると、コロナウィルス(COVID-19)を件名に悪用する攻撃が非常に多いです。
- COVID19 NEW UPDATES
- Covid-19 Update Follow Up Right Now
- COVID-19 SCHOOL MEETING
- Re: Stay safe
乗っ取られた教育アカウントがメール攻撃の起点として悪用される
また、バラクーダの調査担当者は乗っ取られた可能性がある内部アカウントから送信された悪意のあるメールも分析しました。
すべての組織の悪意のあるメールの合計(インバウンドとアウトバウンドの両方)を分析した結果、検出されたメールの約4分の1が内部メールアカウントから送信されていることがわかりました。この割合は教育機関で大幅に高く、悪意のあるメールの57%が内部アカウントから送信されていました。つまり、教育機関のアカウントが、受信した数より多くの攻撃に悪用されていたということです。
このような正規のアドレスから送信されたメールは信頼度が高いため、このような乗っ取られたアカウントは、攻撃者にとって非常に貴重であり、追加的なメール攻撃の格好の起点になっています。攻撃者は、悪意のあるアクティビティが検出され、締め出される前に、可能なかぎり多くのメールを送信したいと考えているため、大規模な攻撃がこのような組織のアカウントから実行される場合もあります。
教育機関を保護する方法
標的型フィッシング攻撃からの保護に投資する: 教育機関はサービスインパーソネーション、BECなどのソーシャルエンジニアリング攻撃を受けることが多くなっています。攻撃者は、教育機関が一般的な企業と同じレベルの高度なセキュリティを導入しているわけではないことを知っており、この状況を悪用しています。学校と大学は、AI(人工知能)を活用して、通常と異なる送信者と依頼を検出するメールセキュリティを優先する必要があります。従来のメールゲートウェイに加えて、このようなセキュリティ機能を追加すると、職員と学生の両方にスピアフィッシング攻撃からの実質的なセキュリティを提供できます。
ATO(アカウント乗っ取り)対策を今すぐ導入する: 多くの学区と大学には、この攻撃を防止するために必要なツールとリソースがないため、教育機関は一般的な企業よりATOの影響を受けやすくなっています。疑わしいアクティビティとATOの可能性を検出できるテクノロジに投資します。
セキュリティ意識トレーニングを強化する: ユーザは最後のセキュリティレイヤです。教育機関が現在直面しているメール攻撃についてユーザを教育します。職員と学生の両方が、攻撃を認識し、攻撃が詐欺であることを理解し、攻撃の報告方法を知ることができるようにします。リモート学習が教育システムの大部分を占めており、学生と教師がコミュニケーションと教育の両方の目的でテクノロジとメールに依存している現在、セキュリティ意識トレーニングは特に重要です。
電信送金詐欺を防止するための内部ポリシーを設定する: 教育機関を含むすべての組織は、個人情報と財務情報が適切に取り扱われていることを確認するために、既存の内部ポリシーを確立し、定期的に見直す必要があります。電信送金、および支払明細の変更を依頼するすべてのメールを確認するために、ガイドラインを作成し、手順を導入して、従業員が金銭的損害の大きいミスを犯さないようにします。すべての金融取引は、複数の関係者が対面または電話で確認および承認する必要があります。
原文はこちら:
Threat Spotlight: Spear-phishing attacks targeting education sector
October 29, 2020 Mike Flouton
https://blog.barracuda.com/2020/10/29/threat-spotlight-spear-phishing-education/