ビジネスメール詐欺(BEC)のサブカテゴリである金融サプライチェーンへの不正アクセスが急増し、その効果は絶大です。Abnormal Securityは、「Firebrick Ostrich」と名付けた悪質な脅威アクターを特定しました。このアクターは、こうした手口の亜種を用いて標的に支払いを強要しています。
同社は以前、標的企業の社内幹部を装うのではなく、企業のベンダーを装う4種類の金融サプライチェーン侵害を特定した。アブノーマル・セキュリティによると、ファイアブリック・オストリッチは、こうした金融サプライチェーン侵害の1つであるサードパーティ偵察攻撃を利用して、2021年4月以降に遡る346件のビジネスメール詐欺キャンペーンを実行した。このキャンペーンでは、151の組織を装い、悪意を持って登録された212のドメインが使用されており、そのほぼすべてが米国で発生している。
アブノーマル・セキュリティー社の脅威情報担当ディレクター、クレイン・ハッソルド氏は、外部の第三者によるなりすましで得られる金銭の額は従来のビジネスメール詐欺の3倍であり、企業やその従業員はベンダーではなく社内の幹部になりすました電子メールを探すように訓練されているため、なりすましが成功する理由は認識不足にあると述べた。
「また、第三者による偵察やその他の金融サプライチェーン攻撃を見ると、おとりの有効性は、電子メールに詰め込める情報量にあります。その情報量によって、他の形態のBECよりもはるかに本物らしく見えるのです」と彼は述べた。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
ハッソルド氏は、毎年何百億ドルもの損失がBECによって発生しており、2016年以降、BECは企業における財務損失の主な原因となっていると指摘した。
「BECは昨年上半期に爆発的に増加し、ピークを迎えました。これは、外部組織を装う攻撃者によって引き起こされました。これは大きな変化です。なぜなら、BECは当初から、主に内部組織を装ってきたからです」と彼は述べた。「BECの攻撃者は、ベンダーを含む第三者を、攻撃チェーンの弱点として認識しています。」
ジャンプ先:
- ローテクななりすましで大きな利益
- ドメイン名登録後1週間以内に攻撃する
- 「合理的な要求」と長期戦
- 最善の防御は総合的なスクリーニングである
ローテクななりすましで大きな利益
ハッソルド氏によると、サイバー犯罪をビジネスとして捉えると、第三者による偵察攻撃に必要な経費は低い。基本的な偵察と情報収集さえあればよく、マルウェアを維持・強化するための基盤インフラや開発者は必要ないからだ。「メールを送信するだけなので、経費の観点から見れば非常に儲かるのです」と彼は述べた。
Abnormal によると、サードパーティのなりすまし攻撃のほとんどは西アフリカから発生しており、3 段階のプロセスが使用されます (図 A )。
図A
- ベンダーの顧客関係に関するオープンソースの調査。これは、既存および過去の契約に関する詳細な情報を提供している州政府や地方自治体、ベンダーが顧客の名前やロゴを掲載している Web サイト、さらには会社名を Google で検索して関連性を調べることによって得られる可能性があります。
- 攻撃インフラストラクチャ:グループは、ベンダーのドメインを偽装するレジストラとして Namecheap または Google を使用してドメインを登録し、ベンダー企業内の買掛金担当者の電子メール アドレスを偽装します。
- 顧客への標的型メール:攻撃者はベンダーの顧客にメールを送信し、未払いの請求書の可能性について問い合わせたり、将来の支払いの送信先となる最新のアカウント情報を提供したりします。
ドメイン名登録後1週間以内に攻撃する
Abnormal Securityによると、Firebrick Ostrichによる新規登録ドメインの利用は、新規ドメインが他の行動指標と組み合わせることで、脅威を特定するための効果的なシグナルとして活用できることを浮き彫りにしています。Abnormal Securityの報告によると、Firebrick Ostrichが登録したドメインの60%は、BECキャンペーンの実行当日に登録されており、約4分の3のドメインは攻撃から48時間以内に取得され、89%のドメインはキャンペーン開始から1週間以内に登録されています。
参照:2023年にIT予算をサイバーセキュリティの堀を埋める方法(TechRepublic)
Firebrick Ostrichは、新たに登録されたドメインを利用して、実際のベンダーのアカウント担当者を装ったメールアドレスを作成し、攻撃に利用します。メインのアカウントは、ベンダーの実際の売掛金担当者を装って標的と通信します。同社によると、追加のメールアカウント(ベンダーの財務担当役員などが含まれる場合もある)は、攻撃の信憑性を高めます。
「合理的な」要求と長期戦
Abnormal Security のレポートによると、Firebrick Ostrich 攻撃の最初のメールは通常、ベンダーが「お客様を大切な顧客として深く感謝しており、今後も引き続きお取引をよろしくお願いいたします」といった挨拶で始まり、その後に 2 つの要求が続くとのことです。
- 最初のリクエストは、ベンダーが顧客の銀行口座情報を更新したいというものです。メールでは、ベンダーは小切手での支払いを受け付けることができないため、ACHと電信送金のみが利用可能な支払い方法であることが明記されています。
- 2つ目のリクエストは、ベンダーへの未払い金について問い合わせるものです。メールには、経理チームがアカウントを確認できないため、ベンダー側で未払い請求書の追跡が不能になっていると記載されています。あるメールでは、Firebrick Ostrichがさらに詳しい情報を提供し、経理チームが「サーバーやOracleにアクセスしてアカウントを確認したり、受領した可能性のある支払いを転記したりできない」と述べています。
「技術的な問題というでっち上げた口実は、ベンダーが自社の請求書の在庫にアクセスできない理由を説明するために、私たちが目にする多くのサードパーティ偵察攻撃でよく使われる言い訳ですが、ここで示されたお世辞はこのBECグループに特有のようです」とハッソルド氏は述べた。
もう一つの戦術は、特に巧妙です。現在の請求書の支払いを要求するのではなく、ベンダーが保存している銀行口座情報を更新し、今後の支払いが新しい口座に振り込まれるように要求するだけです。Abnormal Securityによると、これは買掛金担当者が訓練によって察知できるような危険信号を回避します。長期的な戦略としては、脅威アクターが実際のベンダーではなく、次回の請求書で支払いを受けることになります。
このグループの非常にユニークな点は、アカウントを侵害したり、ベンダーと顧客の関係について詳細な調査を行ったりすることなく、大きな成功を収めていることです。Abnormal Securityによると、彼らは非常に分かりやすいソーシャルエンジニアリング戦術を用いることで、BECキャンペーンを成功させるために必要な情報をすべて入手でき、初期調査に多大な時間やリソースを費やすことなく、その情報を入手することができるのです。
最善の防御は総合的なスクリーニングである
ハッソルド氏は、静的な兆候を特定するメールフラグ付け技術だけではBEC攻撃の防御には不十分だと述べた。彼は、送信者と受信者の関係を理解するための行動分析などの技術を用いた、より包括的な防御を推奨した。この包括的な戦略には、標的企業のサードパーティベンダーエコシステムに関する情報も組み込まれ、これらのベンダーを装った特定のなりすまし攻撃と、疑わしい言語やアーティファクトの両方を監視することが含まれる。
「サイバー脅威の全体的な傾向を把握し、従業員にそれらを認識させることが重要です」と彼は述べた。「つまり、Firebrick Ostrich型の攻撃でアカウント変更の要求や技術的な問題に関するメッセージが届いた場合、実際に変更を行う前に、ベンダーとオフラインでそれらの要求を検証するための社内ポリシーが既に整備されているということです。サイバー攻撃は非常に高度なものだと考えられていますが、結局のところ、そのほとんどはソーシャルエンジニアリング、つまり人間の行動を操作しようとする、つまり通常は行わないような行動を取らせようとするものに過ぎません。」
今年はサイバーセキュリティ攻撃が増加すると予想され、脅威アクターの手口もますます巧妙化しているため、ホワイトハットハッカーとして活動する良い機会と言えるでしょう。TechRepublic Academyが提供する9つの倫理ハッキングコースで、30ドルで基礎を学んでみませんか。
