フィッシング詐欺は、従業員を狙ったスピアフィッシングから、高額な報酬と引き換えに小額の手数料を要求する一般的なアドバンスド・フィー詐欺まで、世界中の組織を長い間苦しめてきた。
最近はベンダーメール詐欺(VEC)という新たな手口が現れ、ユーザーを詐欺から守りたい企業にとってはリスクが一層高まっています。
ビジネスメール詐欺(BEC)攻撃と同様、ベンダーメール詐欺(VEC)では、攻撃者が信頼できるサードパーティになりすまし、正規に見えながら悪意のあるメールをターゲットに送信します。従来のBEC攻撃は社内の信頼できる個人を装うのが一般的でしたが、VECはさらに一歩進んで、ベンダー(または信頼できる他のサードパーティ)になりすましてターゲットを騙し、不正請求書の支払いや機密データの開示、企業ネットワークやシステムへのアクセス許可を引き出すものです。
最近の調査によると、調査対象企業の98%が、サプライチェーンで発生したサイバーセキュリティ侵害の悪影響を受けたことがあると答えています。企業が被るコストは深刻です。ある攻撃では、トヨタグループのメーカーが、悪意のあるサードパーティからの不正な支払い指示を受けて3700万ドル以上の損失を被りました。FBIのレポートによると、BEC攻撃(VECはそのサブセット)は、過去5年間で合計430億ドルの損失をもたらしているとのことです。
VECは攻撃対象向けに個別化さ れているため、悪意のあるリクエストを特定することは、経験豊富なセキュリティ専門家であっても非常に困難です。このような攻撃は、世界的にリモートワークやクラウドベースのメールシステムへの移行が進んでおり、企業にフィッシングに強いセキュリティ機能が備わっていない、または有効になっていないこともあり、より一般的になってきています。
これらの進化するフィッシング手法に先駆けて対処するためには、不審なメール拡張子やURLの変更の検出とフラグ、ドメイン名の検証、サードパーティからの要求の厳密な検査を含めて設計された、多方面からのメールセキュリティ戦略が必要です。
「金融サプライチェーン侵害」とも呼ばれるベンダーメール詐欺は、通常のBEC攻撃よりも高度で標的型の性質を持ち、必ずしも個人に合わせた攻撃である必要はありません。
BEC攻撃では、攻撃者は組織内の特定の人物(多くの場合、CEOや権限を持つ人物)になりすまします。そして、なりすました人物から組織内の複数のターゲットにリクエストを送るのです。
例えば、攻撃者は、会社のCEOを名乗りながら、一般的な支払い要求を従業員に送るかもしれません。一見、正当な要求のようですが、従業員自身が実際のCEOに確認すれば、比較的簡単に事実を 確認することができます。
一方、VECでは一般的に、進行中のプロジェクトの詳細、予算データ、金融取引のスケジュールなど、既存のビジネス関係をより深く理解する必要があります。この調査プロセスには数週間から数ヶ月を要しますが、攻撃対象が攻撃を認識し、支払いを阻止するまでにかなりの時間を要するため、攻撃者にとっての潜在的なメリットは、一般的な攻撃方法よりもはるかに大きいのです。
攻撃者は、ターゲットに自分たちと対話するよう説得した後、偽の請求書に対する支払い要求、請求口座の詳細の改ざん、標的となる組織に関する機密情報の収集など、さらなる悪意のある行為を実行することができます。
上図は、VEC攻撃の一例で、攻撃者がベンダーの電子メールアカウントに侵入し、不正な支払い要求を実行するものです。
最近の一連の攻撃で、FBIは、攻撃者が米国に拠点を置く建設会社(年間平均1兆9000億ドルの売上を誇る業界)になりすましていることを発見しました。攻撃者は、国内のトップクラスの建設会社を調査し、その会社の顧客基盤に関する公的および私的なデータを収集しました。
そして、攻撃者は、ドメインスプーフィングを使用してメールアカウントを作成し、そこから標的の組織と不正な通信を行い、しばしば銀行口座の詳細の変更を要求していました。攻撃者はVEC戦術を用い、すでに収集したデータに基づいて、電子メールメッセージ、請求書発行依頼、口座振替の変更をそれぞれの攻撃対象に合わせて指示し、「数十万ドルから数百万ドル」を組織から詐取したのです。
FBIは、被害者が攻撃が行われたことに気付くまでに「数日から数週間」かかることが多いことを指摘しています。また、資金回収の方法も限られており、ある学区が誤って84万ドルを詐欺的な建設会社に送金した際、盗まれた資金のうち5000ドルしか回収できなかったといいます。
多くの高度なフィッシング攻撃と同様に、VECも検出が困難です。攻撃者はしばしば、信頼できるベンダーのドメインを偽装したり、公開情報ではない内容を提供して正当性を「証明」したりするなど、複数の攻撃方法を組み合わせてメッセージを本物に見せかけます。
VEC攻撃が検知を回避する主な理由は3つあります。
攻撃対象のサプライヤーやベンダーが、自分たちが危険にさらされていることに気づいていない。
このキャンペーンは、長期間にわたり、複数の電子メールスレッドで行われ、会話のほとんどは問題のないもので、悪意のあるペイロードを欠いている。
行動喚起(例:定期的な請求書の支払い)は、緊急性がないように聞こえるように設計されているため、疑わしいと判断されることがない。
VECを防止するためには、受信したメールを検証し、不正な活動を抑制するセキュリティパートナーが必要です。VECを予防するための有効な対策として、以下のようなものがあります。
フィッシングを特定し、ブロックするためのメール設定を行う。厳格なセキュリティプロトコルを使用して、悪意のある電子メールメッセージをスキャンし、フラグを立てます。
Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication Reporting and Conformance(DMARC)などのメール認証プロトコルを使用して、メール スプーフィングを防止する。
侵入検知システム(IDS)のルールで不審なURLにフラグを立てる。
多要素認証(MFA)を使用して、第三者によるアクセスやアカウントレベルの変更要求(パスワードのリセットなど)を確認する。
第三者からの取引依頼を精査する。資金移動の要求を承認する前に、すべての取引情報および口座の詳細を適切な関係者に確認します。さらに、既存のベンダーによって銀行情報が変更された場合、正式なレビューと承認プロセスを組み込みます。
新手の詐欺について従業員を教育する。フィッシングの手口は緩和策を回避するため、常に進化しています。電子メールによる脅威の一般的な兆候について従業員に定期的に教育し、攻撃の成功確率を下げます。
電子メールベースの攻撃を特定するために、組織が開発した緩和策や内部プロセスを実施する。
ドメイン名のタイプミス、実際のURLのバリエーションを含むハイパーリンク(例:「RealCompany.com」の代わりに「RealCo.com」)など、一般的なフィッシングの要素についてメールを検査するよう、ユーザーに教育する。
個人情報や財務情報を要求する未承諾メールや緊急メールには返信しないなど、電子メールのハイジーンを徹底するよう従業員に呼びかける。
Cloudflare email securityは、標的型、長期的なベンダーのメール侵害の試みなど、幅広い攻撃から保護します。Webクローリング、パターン分析、高度な検出技術の組み合わせにより、攻撃者のインフラストラ クチャをインターネットでスキャンし、メッセージを分析して疑わしい要素を特定し、フィッシングメールが受信箱に到達するのをブロックします。
この高度なメール保護は、1日平均~1650億のサイバー脅威をブロックするCloudflareのグローバルネットワークによって実現されており、企業は独自の脅威インテリジェンスデータにより、標的型フィッシング攻撃やその他のサイバー脅威をより効果的にフィルタリングすることができます。また、Cloudflare Zero Trustプラットフォームの一部として、Cloudflareはリモートユーザーとオフィスユーザーの両方に、継続的かつ包括的なセキュリティを提供します。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一環です。
この記事を読めば、以下が理解できます。
VEC攻撃が組織に潜り込む仕組み
VEC攻撃の警告サイン
巧妙なフィッシング詐欺を特定し、阻止するための戦略
利用開始
リソース