スパム
少し前に、ブラジルの大手企業からある事件の調査を依頼されました。サイバー犯罪者が社員のメールアドレスを使ってスパムメールを配信した、というのでした。よくあるのは、サイバー犯罪者が正規の送信者になりすますことですが、この場合は、企業のメールサーバーから直接メッセージが送信されていました。当社は徹底的な調査を行い、攻撃者の具体的な手口を突き止めました。
攻撃の手法
攻撃者たちは、まず、この会社の社員にフィッシングメールを送りました。メールボックスが何らかの理由で利用できなくなってしまうので、リンクをクリックしてアカウント情報を更新するようにと依頼するメールです。当然ながらそのリンクはフィッシング用のフォームにつながっており、システムのログイン認証情報の入力を要求します。
訳:利用者様、未読メールの件数が非常に多いため、あなたのメールボックスはまもなく削除されます。削除されたくない場合は、ここをクリックしてアカウントを更新してください。お手数をおかけすることをお詫びいたします。システム管理者
このフォームに入力した人たちは、自分のメールアカウントへの全アクセス権を攻撃者に与えてしまいました。そして攻撃者たちは、侵入したアカウントからスパムの送信を開始したのでした。メールのヘッダーを変更する必要はありません。もともと正規のヘッダーだからです。スパムの送信元となっているサーバーも悪い評価を下されているものではないため、フィルタリングで引っかかることもありません。
メールアカウントを掌握した彼らは、今度はいわゆる「ナイジェリアの手紙」をさまざまな言語で配信しました。なお、彼らが選んだのはナイジェリアの手紙タイプのスパムメールでしたが、メールの内容はこれに限らず、薬剤の売り込みやマルウェアなど何にでも応用可能です。
「ナイジェリアの手紙」のメッセージ例
分析の結果、被害に遭ったのはこのブラジル企業だけではないことが分かりました。同じメールが大量に、さまざまな州の組織や非営利団体のアドレスから送信されていました。そうした組織のアドレスから送られてきたことが、メールの信憑性を高めたことでしょう。
さらなる影響範囲
自社のサーバーが詐欺メールの配信に使われるのは、企業イメージとしてよろしくありません。もしも攻撃者がマルウェアの配信を始めたならば、企業の評判は地に落ちることでしょう。
しかも、それで終わりではありません。社員のメールアカウントのログイン認証情報が、ドメインのユーザー名およびパスワードと同じであることは珍しくありません。つまり、認証情報を盗まれると、メール以外の企業サービスへのアクセス権も与えてしまうことにもなりかねないのです。
また、一流企業の社員のメールボックスにサイバー犯罪者がアクセスできるようになると、他の社員、ビジネスパートナー、政府職員などへの標的型攻撃が行われる恐れがあります。もっとも、そのような標的型攻撃は、必要なアクションを標的に実行させるために非常に高度なソーシャルエンジニアリングのスキルを要する、難易度の高いものですが、攻撃が成功した場合は予測できない規模の被害となる可能性があります。
この種の詐欺はビジネスメール詐欺(BEC)に分類され、企業に大問題をもたらしかねません。偽りの送信者の狙いは基本的に、メールのやり取りを通じてアカウントのデータや財務関連文書などの機密情報を入手することです。BECのメールは、ヘッダーに不審な点がなく、内容も妥当なもので、実在するアドレスから送られてくるため、検知は非常に困難です。
会社と社員を守る方法
会社の評判を守り、悪意あるスパムの送信元とならないようにするには、メールサーバーと社員のワークステーションの両方でフィッシング攻撃を追跡できる、実績のある保護ソリューションの使用をお勧めします。併せて、ヒューリスティック方式のスパム対策データベースとフィッシング対策用コンポーネントの定期的なアップデートも非常に重要です。
