内部からのBECに対処する方法

不正アクセスしたメールアカウントを使用するBECは、特に危険です。この攻撃への、当社の対応策について。

近年、ビジネスメール詐欺(BEC)が以前よりも頻発しています。BECは、金銭的な詐欺や機密情報の窃取を行ったり、企業の評判を損ねたりする目的で、ビジネス上の通信に不正に侵入します。BECの種類や対策を紹介した前回のBEC関連記事では、主にメールの乗っ取りについて取り上げました。今回は、最も危険なタイプのBECである「内部からのBEC」について取り上げ、当社の対抗策について触れます。

内部からのBECが外部からのBECよりも危険である理由

内部からのBECがその他の攻撃と異なるのは、社内の正規のアドレスから偽メールが送られるという点です。攻撃者が誰か従業員のメールアカウントにアクセスできているということであり、そうなると、メールの認証メカニズム(DKIM、SPF、DMARC)では攻撃を防ぐことができません。また、メールヘッダーの不整合やアドレスのスペルの違いを検知する標準的なフィッシング対策機能やスパム対策機能でも対処できません。

不正アクセスされたメールアカウントから送られるメールは、一般に、送金(業者宛、取引先宛、税務署宛)を依頼する内容か、社外秘の情報を送るように依頼する内容で、よくある何らかのソーシャルエンジニアリングが仕掛けられています。たとえば、急かす(今日支払わないと超過金が課される!)、脅す(先月この件の支払いを依頼したのに、なぜまだ済んでいないのか?!)、いかなる遅延も許さないような高圧的なトーンを使う、などです。正しいアドレスから送られていると、このような内容にも説得力が増します。

内部からのBECは、偽サイトへのリンクを含む場合もあります。こうしたWebサイトのURLは、標的となった組織のアドレス(またはその他信頼できるページのアドレス)とは異なりますが、1文字2文字程度の違いしかありません(「L」の小文字の代わりに「i」の大文字が使われているなど)。その偽サイトに、支払い用のフォームや重要情報の入力を求めるフォームが置かれている場合もあります。自分の上司のアドレスから次のようなメールが届いたと考えてみてください。「あなたに、こちらのカンファレンスに出席してもらうことになりました。早割期間のうちに、チケットを急ぎ購入してください」。業界の重要イベントのホームページのように見えるリンクがメールに書かれていたら、もっともらしく見えるのではないでしょうか。メールの内容が署名も含めて妥当に見える場合、あなたはカンファレンスの名称のスペルまで一つ一つチェックしますか?

内部BECへの対策

こうしたメールは技術的には完全に正当なものなので、偽物と見破るには内容から判断するしかありません。多数の不正なメールを機械学習アルゴリズムに通すことで、メールが本物かBECかの判断を助ける特徴を突き止めることが可能です。なお、こうした特徴を単体で用いるのではなく、組み合わせて用いることで判断が可能となります。

幸か不幸か、この手のサンプルには事欠きません。当社のメールトラップには、世界各地で発生するスパムメールが1日に何百万も届きます。この中には相当数のフィッシングメールが含まれています。当然ながらこれらは内部BECではありませんが、手段と目的は同じであるため学習用の材料となります。最初に、この大量のサンプルを使用して、詐欺の兆候を含むメールを特定する分類器を訓練します。次の機械学習プロセスの段階で、テキストを直接扱います。

これらアルゴリズムは、疑わしいメールを認識するための用語を特定します。これに基づいてヒューリスティックルールが開発され、当社製品はこのルールをもって攻撃を特定します。このプロセスには、機械学習の分類器が連携して関与します。

しかし、だからといって安心はできません。当社製品はこれまで以上にBECを検知可能となったとはいえ、従業員のメールアカウントへのアクセス権を持つ攻撃者は、攻撃の中でその従業員の癖を学んでもっと本人に似たスタイルのメールを作成するようになる可能性があります。用心は欠かせません。

送金や重要情報の公開を求める内容のメールを受け取った場合は、内容をよく読んで確認することをお勧めします。加えて、メールを送ってきた相手に電話やメッセンジャー(セキュリティがしっかりしたもの)で、または直接席まで行くなりして、内容の詳細を確認するとなおよいでしょう。

新たなBEC対策テクノロジーが生み出すヒューリスティックルールはKaspersky Security for Microsoft Office 365(日本では未販売)に搭載されていますが、将来的にはその他ソリューションにも実装する計画です。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?