2022年のメールを使ったサイバー脅威

電子メールを悪用したサイバー攻撃は後を絶ちません。具体的にはどのような手法が多く確認されたのでしょうか。

悪用されるケースが多い電子メール。2022年はどのような手口が確認されたのでしょうか。

パンデミックによって、メールを悪用したサイバー脅威の様相は完全に変化しました。多くの人がリモートワークにシフトし、必然的に仕事上のほとんどのコミュニケーションがオンラインになったことで、フィッシングとビジネスメール詐欺(BEC)が多数報告されました。サイバー犯罪者は、メールを通したコミュニケーションが急増したことに着目し、正規の業務用メールに見せかけた偽メールを簡単に作成するようになりました。そのため2022年の主な攻撃ベクトルは、ビジネス関連のなりすましメールでした。標的にできる限り早く返信するようせきたてるため、通知を設定したり、ソーシャルエンジニアリングの手口なども使用されました。2022年に確認されたメールの脅威トレンドは以下のとおりです:

  • 標的のパソコンを感染させる、悪意のあるコンテンツを含むスパムメールが急増した。
  • 特にスピアフィッシングのメールでソーシャルエンジニアリング手法が多く使われた。例えば、とある関連部門を装い偽の署名を追加する、標的の企業で使われるようなビジネス用語を使ったりあたかも話の経緯を知っているふりをする、時事ニュースに便乗する、実在の従業員の名前に言及するなどです。
  • 実在する組織のドメイン名によく似た偽のドメイン名(2文字違うだけなど)を持つメールアドレスを使用するなど標的が知っているであろう企業になりすます

最終的に、スパムメールを作成した者は、社内メッセージや企業間の取引メール、果ては政府機関からの通知まで偽装するようになりました。当社が今年検知したメールの中から特に興味深いケースを解説します。

マルウェアを含むメール

2022年に最も多く確認されたのは、ビジネス関連のメールを装った悪意あるメールです。例えば、取引の決済や商品配送に関するものなど、ビジネスに関連する重要な情報が含まれているとメール受信者に思い込ませ、彼らが添付ファイルを開いたりリンク先のファイルをダウンロードしたりするように仕掛けています。ほとんどの場合、暗号化されたアーカイブにマルウェアが仕込まれており、そのパスワードはメッセージ本文に含まれています。

また、一年を通して頻繁に確認された手法は、攻撃者が、本物のビジネスメールへのアクセスを不正に取得し(ほとんどの場合、過去に感染したコンピューターから窃取)、悪意のあるファイルを添付、または悪意あるリンクが書かれたメールを、アドレス帳に登録されているすべての連絡先に送信するというものです。この方法では、それぞれの仕事に関係していると思わせる内容のメールを送信することができるため、受信側は悪意のあるメールだと気づくことが難しく、だまされる確率が高くなります。

受信者が悪意のあるドキュメントを開くと、ほとんどのケースでトロイの木馬(QbotまたはEmotet)が読み込まれます。それらがユーザーのデータを窃取し、企業ネットワークに入り込んで様々な情報を収集し、ランサムウェアなど他のマルウェアをばらまきます。さらに、Qbotはメールへのアクセスとメッセージ窃取も可能にします。つまり、その後の攻撃で使うメールの情報源としての役割を果たします。

12月初め、まもなく年末を迎えるというこの時期、詐欺師は、とある慈善団体を装って被害者に古い電子機器を寄付するように呼びかけました。ただ、参加するためには、引き取る対象のデバイスのリストが記載された(と謳う)ファイルをダウンロードする必要があります。詐欺師は、悪意のある実行可能ファイルをパスワードで保護されたアーカイブに隠していました。

また別の例では、攻撃者が、請求書にみせかけた数万のアーカイブを送り付けました。これらには、感染したコンピューターを遠隔から操作できる、悪意あるトロイの木馬のバックドアが仕込まれていました。最も興味深い点は、添付されたアーカイブに.r00、.r01といった拡張子が付けられていたことです。これは、作成者が、特定のファイル拡張子用に設定された自動保護システムをバイパスしようとして、アーカイブを大きいRARアーカイブの一部に見せようとしたと考えられています。

公共団体からの偽の通知

今年は、国の機関や他の地方自治体からの連絡とうたったメールも多く報告されました。こういう類のメールは、送信元のアドレスが政府機関の実際のドメインに見せかけたものになっているのが一般的です。また、悪意のある添付ファイルには、多くの場合「会議に関するコメント」のように、関係のあるものだと思わせるような名前が付けられています。そのような添付ファイルに含まれた悪意のあるコードの例として、Microsoft Officeのコンポーネントである数式エディターの脆弱性を悪用するものがありました。

時事ニュースに便乗

ロシア語のメールの例を見てみましょう。実際に起きた出来事に関連した、悪意のあるメールが頻繁に送信されました。例えば10月、サイバー犯罪者がロシアの「部分動員令」発動のニュースを利用し、召集令状に見せかけたマルウェアをばらまきました。このメールではロシアの刑法が引用され、国防省の紋章などが使われ、記載されたリンクから通知をダウンロードするように促していました。実際、リンク先は実行可能スクリプトを含むアーカイブでした。

さらに、ロシアの法執行機関を送信元とするメールも検知されました。このメッセージは、「敵の」組織が仕掛けたオンラインの脅威から身を守るために「新たなソリューション」をダウンロードするように受信者に要求していました。しかし、実際コンピューターにインストールされたプログラムは、ランサムウェアのトロイの木馬でした。

身を守るには

サイバー犯罪のスキームは、年を追うごとにかつてないほど高度で巧妙化しており、偽装されたビジネスメールの内容も説得力が増しています。そのため、企業のインフラをメール攻撃から守るためには、技術的な対策と同時に、組織的な対策にも投資するべきです。具体的には、企業のメールサーバーレベルと、インターネットに接続したすべてのデバイスの両方のセキュリティソリューションを備えることに加えて、従業員に対して定期的なサイバーセキュリティ意識向上トレーニングを実施することをお勧めします。

ヒント