【ビジネスメール詐欺(BEC)対策 コラム】

何故、本物とそっくりなのか?
BECメール送信の前工程となる
”メールの盗み見”とその対策

前回コラムでは、ビジネスメール詐欺(BEC)対策を選ぶ際にチェックすべきポイントについて解説しましたが、そもそも、何故ビジネスメール詐欺に騙されてしまうのでしょうか?例えば、著者が面識のない皆さまの名刺を入手し、いかに文面を工夫して詐欺メールを送っても、騙されることは考えにくいと思います。

ビジネスメール詐欺で実際にメールを受信した複数の被害者の話から、高度なBECメールは「なりすまされた方が普段の業務で使う、文面・内容・シグネチャーなどがほぼ同じ」であることが分っています。
つまり、通常の業務で行き交うメールが犯罪者によって事前に盗み見され、その通常メールを複製などした上で悪用しているため、騙されてしまうのです。「法人版オレオレ詐欺」と表現された記事を見かけることがありますが、なりすましの精度は、一般的なフィッシング詐欺とは比較にならないほど巧妙なのです。
今回のコラムでは、本物のメールを盗み見る、その手口と対策について解説します。

「メールの盗み見」の手口

メールの盗み見はどの様な手口で行われているのでしょうか?
メールアカウントのID及びパスワードを入手し、対象のアカウントに不正にログインすることが近道です。
ID・パスワードを盗む手口は大きく分けて2つあります。

①フィッシングメールで偽ログイン画面へ誘導
②キーロガーの感染

最近は、①フィッシング攻撃のメールが急増しており、その中でもOffice 365等のクラウド型のメールサービスを標的にした攻撃が目立っています。(図1)

図1:クラウドメールの盗み見を目的とした不正メール

攻撃者の視点では、クラウド型のメールサービスからアカウントの情報を入手するのは、オンプレミス環境のMTAからアカウント情報を奪取するよりも比較的容易と言えるでしょう。例えばOffice 365のログイン画面を模倣する場合、デザイン・HTTPソースコードは、インターネットで検索すれば入手可能です。これを元に攻撃者は本物そっくりの偽のログインサイトを作成できます。入力されたIDやパスワードを記録できるようにし、本物のドメインと近似したURLを複数取得すれば、Office 365を使っているターゲットに何度でも利用できます。
不正なログインサイトのURLの付いたメールをターゲットが受信し、偽サイトでIDやパスワードなどの認証情報を入力すると、ビジネスメール詐欺の前工程であるメール盗み見の準備完了です。

また、ビジネスメール詐欺の話題からは離れますが、この盗み見のための手法「フィッシングメールから偽ログイン画面誘導」は、今年の夏に多くの大学で、その手法だけを使った個人情報の漏えいの重大インシデントを引き起こしたとされています。ビジネスメール詐欺に限らず、標的を攻撃する最初のステップとして広く使われている手法と言えます。

図2:2018年上半期に公表された法人におけるクラウド型メールサービスにおける被害一覧

Office 365(Exchange Online)に限らずG Suiteなどのクラウド型メールサービスをお使いの企業・組織では、こうした攻撃に対処しリスクを軽減するために、従業員・経営幹部へメール盗み見のためのフィッシングメールの教育・周知と共に、システム的な対策のキモがどこにあるかを理解し、今注力して対策をとるべきリスクのひとつとして考慮頂きたく思います。

検知技術の回避を狙うクレデンシャル・フィッシング

偽ログイン画面を利用して認証情報を入手する一連の手法を、セキュリティ業界ではクレデンシャル フィッシングと呼びますが、検知を回避するために更に高度な不正サイトが出現しています。

図3:偽ログイン画面

当社が発見したこの偽ログイン画面は、通常テキストで組まれるものが画像で構成されています。例えば、最下部の青文字「Forgot My Password(日本語サイトの場合:パスワードを忘れたら)」は、見た目は文字列ですが、テキスト文字のハイパーリンクではなく、画像でありその画像にリンクが貼ってあります。

元々、コンピュータは画像情報よりもテキスト情報の解析の方が得意です。また、セキュリティ上の脅威も、対象者を騙すテクニックはWebであれメールであれ、テキストによってなされることが多いため、解析・検知するセキュリティ技術もテキスト情報を中心に成り立ってきました。攻撃者は、その検知技術を回避するために、あえて画像で構成した偽ログインサイトを立ち上げており、最新のクレデンシャル フィッシングとして、他に以下のような手法を組み合わせている例が確認されています。

・マルウェアをサイト内に埋めこまない  ← ファイルを対象とした検索・サンドボックス解析の回避
・新たなドメインによる詐称Webページ  ← Webレピュテーション技術の回避
・httpsの鍵マーク付き不正サイト    ← 証明書確認の回避

フィッシングメール内URLに対する3つの検知方法

ますます高度化・巧妙化するビジネスメール詐欺に対抗するため、ソリューションを選ぶキモはどんなところにあるのでしょうか?
フィッシングメールにおいて、いかにメール内にあるURLのリンクの接続遮断・警告を出来るか、が重要なポイントです。検知すべき場所としては、組織ネットワークに侵入する前のDMZやクラウドでのメールセキュリティによる検知がお奨めです。また、フィッシングメール自体は、マルウェアなどを含まないので、メール送信に関わる付帯情報・・・例えばメールヘッダなどを元に検知・遮断ができる対策技術を利用することで網羅する範囲が広がることがその理由です。

まず、フィッシングメール対策の大前提として、本文(ボディ)やタイトルを含む、メール内のURLを検査できるかを確認しましょう。
その上で、深堀して見るべきは、以下の3パターンのURLに対する検知です。

①「既知」の不正サイト
②「未判定」の不正サイト
③「画像で構成」された不正サイト

起こり得る攻撃シナリオを把握することで、具体的に必要な対策技術が見えてきます。

①「既知」の不正サイト

トレンドマイクロでは「Webレピュテーション」と呼ぶ技術で2006年から10年以上に渡って不正なURLへのアクセスを遮断する機能を提供しています。日々、新たに生まれ、更新されるWebサイトの情報を収集し、クラウド基盤でビッグデータとして相関分析し「危険度を評価」。当社製品やサービスでは、その危険度に応じて、URLへのアクセスを制御します。

Webレピュテーションとは

Webレピュテーションは、Webからの脅威の出所である不正URLへのアクセスをブロックするWebセキュリティソリューションです。
トレンドマイクロの脅威情報収集ネットワークによって収集した様々な情報を基に、ドメイン、Webページ、Webサイトに埋め込まれているリンク単位でスコアリングを行いデータベースに登録しています。ユーザがWebサイトにアクセスするなどの通信が発生する際にTrend Micro Smart Protection Networkに自動的に問い合わせを行い、接続先ドメイン、Webサイト、Webページが不正な場合にはアクセス自体をブロックすることによって不正プログラムによる感染、フィッシング詐欺による被害を防ぐことができます。

URLフィルタ機能との違いについてお問い合わせを頂くことがありますが、前述の通りWeb レピュテーションはアクセスすることに依る危険度が基準であり、URL(Web)フィルタは危険度ではなくWebサイトの内容を分類した基準になります。例えば、このWebサイトは「違法なサイト」や「アダルトサイト」だからアクセスさせない、という機能がURLフィルタであり、アクセスした後にマルウェアに感染する、情報を詐取される危険性が高い、というのはWebレピュテーションになります。

当社のWebレピュテーションは、膨大な量のWebサイトの危険度を調査・分析しています。また、URLのデータベースとマッチングして危険度を参照する仕組みであるため、製品側でアクセスするタイミングで正確かつ迅速に検知できます。
一方、日々生じる新しいWebサイトの中で調査・分析前のものは、New Bornとして信頼性が低いものという評価はできますが、危険性としては未判定の状態になります。

②「未判定」の不正サイト

レピュテーションの評価よりも前の段階で、新しく立ち上げられたNew Bornサイトの対策を施すことで不正なフィッシングサイトをより多く網羅することができます。

トレンドマイクロでは、Webレピュテーションで未判定(過去に解析がされていない)Webサイトに対して、更に機械学習を用いた「リアルタイムでのURL解析」を行いゼロデイ フィッシングサイトに対する危険性を解析・制御する機能を一部の製品で実装しています。機械学習では、過去に当社が見つけた数多くのフィッシングサイトをサンプルにモデル化し学習させることで、新たなフィッシングサイトを検出していきます。

図4:未判定URLのリアルタイム精査(T-Zero)の概念図

昨今のフィッシングサイトは、セキュリティベンダーなどのクローリングによる検知を避けるために、新たにドメインを立ち上げて偽ログイン画面を構築するため、こうした機械学習によるリアルタイム精査がクラウド型メールをご利用する方のリスク回避に欠かせないものになってきました。

③画像で構成された不正サイト

「画像で構成された偽ログイン画面に誘導するクレデンシャル フィッシング」は、今日の文字列中心の検索技術では機械的にクローリングしても判定し難いため、非常に厄介です。

こうした脅威を検出するために、トレンドマイクロは、コンピュータビジョン(Computer Vision)※1とAIを利用した検知機能を開発しました。(Trend Micro Cloud App Securityに実装)

例えば、下記のような画像で構成されたWeb画面であれば、
A) コンピュータビジョンでログイン画面として必要な項目を認識、さらにファビコン※2を“画像処理で読み込み”、AIで「これはOffice 365ログイン画面である」と機械的に判断します。
B)ドメイン名が正規のものであるか、ファビコンのOwnerの情報を読み込みます。

このA)とB)をAIで比較することで、「Office 365ログイン画面だが、偽物である」と判断し、制御を行います。

図5:画像処理とAIによる「偽ログイン画面」の検知

このコンピュータビジョン+AIの偽ログイン画面検知技術により、Trend Micro Cloud App Securityだけで2018年4月~10月の7ヶ月で33,000サイトにも上る画像不正サイトを検知・ブロック※3しました。

「ビジネスメール詐欺対策」「フィッシング対策」を謳う製品・サービスは、巷にあふれていますが、どれがお客さまの環境、想定する脅威シナリオに即した対策なのかわかりにくいのかもしれません。
確かに、昨今のビジネスメール詐欺は二極化しており、本稿でご紹介した高度なBECだけでなく、単純な手法のBEC※4も確認されており、単純な手口にしか対抗できない対策製品も存在します。ソリューションが、どの攻撃手法に対して有効か、ワンブレイクダウンしてコアテクノロジーを知ることが大きくセキュリティレベルを左右します。
本稿が読者の皆さまにとりまして、最新のメールによる攻撃シナリオ、脅威の手法と合わせて、対策強化のためのセキュリティ技術の理解の一助になれば幸いです。

※3 トレンドマイクロ調べ
※4 肩書などの名刺情報程度で、メールの盗み見などを行わずに偽メールをターゲットに送る

吉田 睦
プロダクトマーケティング本部
国内大手SIや外資系ベンダーにて、ハイエンドUnixサーバでのプロダクトマネージャや企業向けミッドレンジストレージのOEM提供などシステムインフラを広める製品エキスパートとして活躍した後、2009年トレンドマイクロ入社。ゲートウェイセキュリテイの製品責任者としてクラウドメールセキュリティの立ち上げを担うなどプロダクトマーケティング業務に従事。

記事公開日 : 2018.11.2
 この記事は、公開日時点での情報です

TREND MICRO、Trend Micro Smart Protection Networkおよび、SPNはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2018年11月現在のものです。内容は予告なく変更になる場合がございます