サイバー犯罪に利用されるトラッキングピクセル

サイバー犯罪者は、情報収集の手段としてマーケティングツールを導入しています。

ビジネスメール詐欺(BEC)の攻撃を仕掛ける場合、攻撃者は入念に下準備を行う傾向にあります。送金や機密情報の送信が認められている人物になりすますに当たり、メールは可能な限り正当なものに見えなければなりません。細部が肝心なのです。

先日我々が対応した中に、興味深い例がありました。とある企業の社員に送られた、連絡を促す内容のメールです。

BECのメール

—–

(メール本文抄訳)

都合の良い時をお知らせいただけますか。お願いしたいことがあります。

今から会議なので、とりあえずこのメールに返信をお願いいたします。

よろしくお願いします。

※送信者の名前

iPhoneから送信

—–

BECのメールにしては、簡潔で味気ない内容です。攻撃者は、このメールを送った人物が会議中で、メール以外の連絡手段では対応できないということを明確にしています。こうして、メールの署名にあるとおりの人物から送られたメールなのかを確認するアクションを取らせないようにしているのです。このメールが無料メールサービスから送信されているという事実を攻撃者が隠そうとしていないところを見ると、なりすましの対象がこのメールサービスを利用しているのを知っていたか、この企業では普段から業務連絡に外部のメールサービスを使用していると予想したのでしょう。

このほか、我々の目に留まったのは「iPhoneから送信」という署名です。iOSのメールアプリでメールを送信するとき挿入される既定の署名ですが、メールのヘッダーを見ると、このメールがWebインターフェイス、具体的にはMozillaのブラウザーから送信されたことを示しています。

攻撃者はなぜ、iPhoneから送信されたように見せようとしたのでしょうか?メールの信ぴょう性を高めるために、この自動署名を追加したのかもしれません。洗練されたやり方ではありませんが。BECの手口で最も多いのは、同僚から送られてきたように見せる方法です。今回のケースでは、この人物がiPhoneを使っていることをメールの受信者が知っていた可能性が高いと考えられます。

つまり攻撃者は、意図的に署名を追加したに違いありません。しかし、この人物がiPhoneユーザーであることをどうやって知り得たのでしょうか?実は、難しいことではありません。いわゆるトラッキングピクセル(別名:Webビーコン)を利用した予備調査の手段があるのです。

トラッキングピクセルとは何か、それを使用する理由とは

顧客やパートナー、メールマガジン等の読者を対象に一斉メール配信を行う企業(ほぼすべての企業がそうですが)は、一般に、エンゲージメントの度合いを知りたがっています。メールには開封確認メッセージを送信する機能がありますが、開封確認の送付には受信者の同意が必要であり、同意する人はほとんどいません。そこで、頭の良いマーケティング担当者が思いついたのがトラッキングピクセルです。

トラッキングピクセルは、サイズがわずか1×1ピクセルという非常に小さな画像で、ほとんど目に見えません。トラッキングピクセルはWebサイト上に置かれています。メールクライアントがこのピクセルを要求してくると、メールの開封確認、受信したデバイスのIPアドレス、メールの開封時刻、メールの開封に使用されたプログラムの情報がメールの送信者(このWebサイトの管理者)の元に届きます。メールを受信したとき、[画像のダウンロード]をクリックしないと画像が表示されなかった経験はないでしょうか?これは、パフォーマンスの向上やトラフィックの制限を目的としたものではありません。画像の自動ダウンロードは、一般に、セキュリティ上の理由から既定でオフになっています。

サイバー犯罪者はトラッキングピクセルをどのように利用するのか

たとえば、このような筋書きが考えられます。海外旅行中に、仕事用のメールアドレスに仕事と関係がありそうなメールが届きました。それがただの迷惑な勧誘メールであると気付いたあなたは、すぐにメールを閉じて削除します。この間に、攻撃者は以下の情報を取得しています。

  • あなたが国外にいること。これはIPアドレスからの判断です。つまり、今あなたは同僚と個人的に連絡を取るのが難しいということなので、あなたになりすましても問題なさそうだと攻撃者が判断する可能性があります。
  • あなたがiPhoneを使用していること(メールをiOSのメールアプリで開封した場合)。つまり、「iPhoneから送信」の署名を付けておくと、偽メールの信ぴょう性が高くなります。
  • このメールを読んだ時間が午前11時だったこと。この情報自体は重要ではありません。しかし、あなたが定期的にメールを確認していたとすると、攻撃者はあなたのスケジュールを把握し、連絡が取りにくくなる時間帯を狙ってBEC攻撃を仕掛ける可能性があります。

このような情報収集を回避するには

トラッキングされないようにするのは困難です。だからといって、サイバー犯罪者の思いどおりにさせてよいわけではありません。私たちからは以下の対応をお勧めします。

  • 「画像をダウンロードするには、ここをクリックします」のようなメッセージが表示されたら、それは、プライバシー上の理由から画像などのビジュアルコンテンツがブロックされたということです。クリックする前に、考えてみましょう。画像がないと見た目がよくないかもしれませんが、ダウンロードに同意すると、自分自身や自分の使っているデバイスの情報を見ず知らずの人に提供することになるのです。
  • 迷惑メールフォルダーに振り分けられたメールは開封しない。今どきの迷惑メールフィルターは正確性が高いものですし、お使いのメールサーバーが当社の技術で保護されていればなおさらです。
  • 多数の宛先に向けて送信されたビジネス関連メールに注意する。どこかの企業の最新情報に関するお知らせを意図的に購読するのと、知らない企業から心当たりのないメールを受け取るのは、別物です。後者の場合、メールを開封しない方がよいでしょう。
  • スパム対策とフィッシング対策の高度な技術を備えた堅牢なソリューションを使用して、会社のメールを保護する。

Kaspersky Security for Linux Mail Serverには、高度なスパム対策機能およびフィッシング対策機能が備わっています。

ヒント