Barracuda Threat Spotlight(バラクーダが注目する脅威): 悪意のあるアカウントから実行されるBEC(ビジネスメール詐欺)
トピック: 今すぐ知る必要がある13タイプのメール攻撃、BEC(ビジネスメール詐欺)、メール保護
2020年8月6日、Mike Flouton
正規のメールサービスで作成したアカウントをインパーソネーションとBECに悪用する攻撃者に注意してください。
2020年初以降、バラクーダの調査担当者は、Gmail、AOLなどのメールサービスを悪用し、約6,600社の企業に対する10万回以上のBECに悪用された6,170個の悪意のあるアカウントを特定しています。実際、4月1日以降、悪意のあるアカウントは検出されたBECの45%に悪用されています。
この進化する攻撃が悪意のあるアカウントからどのように実行されているかだけでなく、攻撃を検出、防止、および排除して、ビジネスを保護するためのソリューションについても詳細に説明します。
主要な脅威
悪意のあるアカウント: 攻撃者は正規のサービスで登録したメールアカウントをインパーソネーションとBECに悪用します。また、巧妙なメールを作成しますが、ほとんどの場合、メールサービスプロバイダに検出および防止されないように、メールアカウントを数回しか悪用しません。BECに悪用されたメールアカウントは悪意のあるアカウントとして定義されており、このようなアカウントからは、攻撃者がアカウントを攻撃に悪用する方法を分析できます。
詳細
悪意のあるアカウントは2020年4月1日以降に検出されたすべてのBECの45%に悪用されています。常習的な攻撃者は、複数回の攻撃を実行しており、同じメールアカウントから複数の企業を攻撃しています。
攻撃者が悪意のあるアカウントに好んで選択しているメールサービスはGmailです。Gmailは、アクセスしやすく、無料であり、登録しやすく、メールセキュリティフィルタを通過するほど信用が高いため、悪用されるのは無理もありません。
攻撃者は、同じメールアカウントを何度も悪用しますが、インパーソネーションの表示名を変更します。
ほとんどの場合、攻撃者が悪意のあるアカウントを長期間にわたって悪用することはありません。実際、悪意のあるアカウントの29%は24時間しか悪用されていません。悪意のあるアカウントが短期間しか悪用されない理由は下記のとおりです。
- 悪意のあるアカウントは、メールサービスプロバイダが報告および停止する可能性がある。
- 攻撃者が新しいメールアカウントを登録することは簡単である。
- 攻撃者は、最初の数回の攻撃の後に、メールアカウントを一時的に放置し、長期間が経過した後に、同じメールアカウントを悪用する可能性がある。
ほとんどの攻撃者は悪意のあるアカウントを短期間しか悪用していませんが、一部の攻撃者は1年間以上にわたって悪用しています。攻撃者が、長期間が経過した後に、同じメールアカウントを悪用することはよくあります。
本質的に、BECは高度な標的型攻撃です。攻撃者は、最初に調査を行った後に、攻撃で従業員または信頼できるパートナーを偽装します。通常は、まず、連絡を取り、信頼関係を築くために、メールを悪用します。攻撃者はBECメールへの返信を期待します。このため、通常、BECメールは、件数が非常に少なく、返信の可能性が高くなるように、高度にカスタマイズされています。1個の悪意のあるアカウントから実行された攻撃の回数は、1~600以上ですが、平均では、わずか19です。
バラクーダの調査担当者が6,600社の企業に対する攻撃を分析した調査によると、攻撃者は、多くの場合、異なる企業を攻撃するために、同じメールアカウントを悪用しています。1個の悪意のあるアカウントから攻撃を受けた企業の数は1~256ですが、1回の大規模な攻撃が、この調査に回答したすべての企業の4%を占める256社に影響を及ぼしています。
悪意のあるアカウントから企業を保護する方法
- BECの防止に投資する: 攻撃者は、メールゲートウェイをバイパスするように、BECを設計しています。攻撃者が、検出されないように、1個の悪意のあるアカウントを数回の攻撃にしか悪用しない理由は、このためです。AI(人工知能)の活用によって、通常と異なる送信者、依頼、および他のコミュニケーションを特定することが、BECなどの詐欺を検出するために役立ちます。
- 悪意のあるアカウントからのメールを防止する: 攻撃者が悪用するアカウントの特定は必ずしも簡単ではありません。攻撃者は悪用している実際のアカウントを特定しにくくすることができるスプーフィングなどの技術を悪用します。1個の悪意のあるアカウントから実行される攻撃の回数は少ないため、同じ企業が同じメールアカウントから実行される2回の異なるBEC攻撃を受ける可能性は低いです。このような脅威インテリジェンスを複数の企業間でリアルタイムに共有できるベンダと協力すると、セキュリティをさらに強化できます。
- 標的型フィッシング攻撃を検出するようにユーザをトレーニングする: ユーザトレーニングを常にセキュリティポスチャの一部にする必要があります。社外からのメールを検出する方法を知っており、攻撃者が悪用する最新の技術を意識しているように、従業員をトレーニングしてください。
原文はこちら:
Threat Spotlight: Malicious accounts in business email compromise
August 6, 2020 Mike Flouton
https://blog.barracuda.com/2020/08/06/threat-spotlight-malicious-accounts-business-email-compromise/
No comments yet.