Trend Micro Cloud App Security 2018レポート
複雑化するメールの脅威に対する
高度な防御策

メールをとりまく脅威の全体像を組織が学ぶために、サイバー犯罪者が用いるメールの脅威の代表的な事例と、効果的に防御する高度なセキュリティ技術について考察します。

すべての感染媒体において、メールは今なお使用頻度が極めて高いサイバー犯罪のプラットフォームです。というのも、メールは簡単に悪用できるからです。コミュニケーションとコラボレーションの定番ツールというだけでなく、メールは(無料でない場合でも)より安く簡単に配布できます。メールがサイバー犯罪者にもたらす利便性により、メールサービスを使用している企業環境は潜在的に危険な状況に陥り、不正行為、スパイ活動、情報盗用、スプーフィングなどの攻撃を受けやすくなります。

2018年、トレンドマイクロのクラウド型セキュリティ技術基盤「Trend Micro Smart Protection Network™」は、410億件を超えるメールの脅威を検出してブロックしました。この莫大な数は、フィッシング攻撃やスパムメール送信活動の件数が圧倒的に増加し、さまざまな不正プログラムのメール添付がサイバー犯罪者によって繰り返されたことで生じました。こうした脅威は継続だけでなく、急増しているため、システムやネットワークを効率的に保護するために、様々な対策を検討する必要があります。

リスクが高いメールの脅威をブロックするために求められるサイバーセキュリティレイヤー

Trend Micro Cloud App Security™(以下、Cloud App Security)は、クラウドのメールアプリケーションやファイル共有アプリケーションに高度な保護を提供し、データをはじめとする組織の資産を保護して、透明性のある方法で使用できるようにします。対象となるアプリケーションには、Microsoft® Office 365™ Exchange™ Online、Google Drive™、OneDrive® for Business、SharePoint® Onlineプラットフォームなどがあります。Cloud App Securityは、前述のクラウドアプリケーションが備えるセキュリティフィルタを通過したメールとファイルへの追加の保護層として機能します。機械学習(ML)、サンドボックスによる不正プログラム分析などのサイバーセキュリティ技術を使用して、ビジネスメール詐欺(BEC)、フィッシング詐欺、スピアフィッシング、ホエーリング(whaling)、ランサムウェアなどのメールの脅威からシステムを防御します。

2018年、Cloud App Securityは前年よりもさらに多くの脅威を捕捉し、総計で892万792件に及ぶリスクが高いメールの脅威を検出してブロックしました。

Office 365などのメールサービスを利用している企業の場合、標準のセキュリティフィルタのみを使用している企業もあれば、脅威に対する保護を強化するためにサードパーティのセキュリティソリューションを1つ以上追加している企業もあります。2018年の脅威データは、標準またはスタンドアロンにかかわらず、何かしらのメールセキュリティを使用している企業において、追加されたCloud App Securityがどれくらい効果を生んだかを示しています。これは、直前のセキュリティレイヤーをすり抜けた高リスクの脅威をCloud App Securityが検出しブロックしたことを意味します。

8万のOffice 365ユーザを抱える物流業界の大企業を例に挙げて要点を明らかにします。Cloud App Securityは、フィッシングメールをはじめとする50万件以上のさらなる脅威を検出してブロックしました(詳細は以下(1)を参照ください)。こうした高リスクの脅威は、Office 365が備えるセキュリティフィルタやアドオンサービスのOffice 365 Advanced Threat Protection (ATP) を通過した後に検出されました。次に紹介するのは、12万のOffice 365ユーザを抱えるサービス業界の大企業の事例です。サードパーティのメールセキュリティゲートウェイを使用していたこの企業は、10万規模のさらなるメールの脅威をCloud App Securityでブロックしました(詳細は以下(2)を参照ください)。

追加のセキュリティレイヤーとしてCloud App Securityのみを使用していた企業でも多くの脅威がCloud App Securityによって検出されブロックされました。1万のOffice 365ユーザを抱えるインターネット業界の大企業や、115のOffice 365ユーザを抱える情報業界の小規模企業もさらなる脅威を検出しました(詳細は以下(3)と(4)を参照ください)。

インターネットですべてがつながる時代では、多層的なサイバーセキュリティ戦略が欠かせません。企業の規模を問わず、サイバー防御を突破する執拗な脅威に遭遇する可能性が高いからです。2018年には、こうした悪意あるメール攻撃の新たな策略と動向が見られ、それと同時に、おなじみの悪名高いオンライン銀行詐欺ツール(バンキングトロジャン)、バックドア型不正プログラム、ランサムウェアがメールの悪用を繰り返して攻撃を展開しました。メールをとりまく脅威の全体像を組織が学ぶために、その代表的な事例について考察し、導入すべき対策を解説します。

Office 365ユーザを標的にしたクレデンシャルフィッシング手法の増加

サイバー犯罪者は攻撃の新たなバリエーションを生み出す努力を続けているため、クレデンシャルフィッシングの蔓延には歯止めがかかりません。Cloud App Securityのデータは、クレデンシャルフィッシング攻撃が今でも広く展開されていることを示しています。クレデンシャルフィッシングは、2018年に検出された、リスクが高いメールの脅威全体の40%を占めていました。

クレデンシャルフィッシング:40%(353万495件の検出)

クレデンシャルフィッシングは、2018年にCloud App Securityが検出した、リスクが高いメールの脅威890万件の40%を占めていました。

2018年、セキュリティ研究者がOffice 365ユーザを標的にした新種のクレデンシャルフィッシング攻撃を発見したことが報道されました。Cloud App Securityは、同様の手口でOffice 365ユーザのアカウント資格情報の収集を試みたフィッシングメールを検出しました。

10月に検出された以下のメールは、Office 365からのアカウント終了通知を装っていました。こうした手口では、企業メールアカウントを終了するように依頼されたことを知らせるメール通知がユーザに送られます。このメール通知は、終了が間違いである場合は、メールの下部に埋め込まれたリンクをクリックすればキャンセルできることも伝えています。このリンクをクリックすると、Office 365のログイン画面を装ったフィッシングページが表示されます。ユーザがログインを試みると、Office 365の資格情報が盗み取られます。

Office 365は広く利用されているため、サイバー犯罪者にとって魅力的な標的となっています。Cloud App Securityが検出した上記のクレデンシャルフィッシングのメールは、Office 365の通知メールを装っています

このアカウント終了を装った手口の他にも、Office 365ユーザを狙った別のタイプのフィッシング手法が出現しています。12月には、Office 365ユーザの資格情報を盗み取るために偽の配信不能レポート(NDR)が配信されました。Internet Storm Center (ISC) のシニアマネージャであるXavier Mertens氏が発見したこのNDRメールには、不正なURLが組み込まれており、ユーザがクリックするとOffice 365の偽のログインページが表示されます。

さらに、2019年1月に米国シークレットサービスが情報を共有したフィッシング攻撃は、Office 365を使用している組織にターゲットを絞ったものでした。シークレットサービスによると、暗号化された文書にリンクしているように見せかけるスピアフィッシングのメールが発見されたとのことです。このリンクをクリックしたユーザは、本物のように見える、偽のOffice 365ログイン要求フォームを介してメールアカウントの資格情報を入力するように求められます。攻撃者は、この手口に騙されたユーザのメールアカウントにアクセスします。

BECの継続と新たな動向の出現

ビジネスメール詐欺(BEC)は総検出数の1%を占めています。Cloud App Securityが検出した他の脅威タイプと比べると、この割合は少ないと思うかもしれませんが、BECは無視できない存在です。連邦捜査局(FBI)が2018年7月に流したBECに関する公共広告(PSA)は、2018年現在、BEC詐欺は全世界で125億ドルの損失をすでに与えており、1件あたりの平均損失額は15万9,000ドルであることが明らかになったと伝えています。

※ https://www.ic3.gov/media/2018/180712.aspx

 

BECの攻撃:1%(10万3,955件の検出)

BECは、2018年にCloud App Securityが検出した、リスクが高いメールの脅威全体の1%を占めていました


FBIによると、BECによる全世界での損失額は2013年から2018年現在までに125億ドルに達し、2017年に報告された総額よりも136.4%増えています。

FBIの公共広告は、前述の全世界での損失に加えて、不動産業界がBEC詐欺犯の標的になるケースが増えていることを強調しました。2018年5月には、BECの標的となった不動産業者の件数が2015年以降の最高値を記録しました。FBIの報告によると、BECの被害者は、権原会社、法律事務所、不動産業者から不動産の購入者、販売人に至るまで、あらゆるレベルの取引に参加していました。これらの被害者は、ユーザを巧みに操って、BEC詐欺犯が設定した偽造アカウントに支払いタイプや支払い先を変更させる偽装メールに騙されていました。BECのサンプルが示すように、これはBEC詐欺の一般的な詐欺手法であり、不動産に限ったものではありません。

ドメインが疑わしいメールアドレスを用いて送信される、エグゼクティブになりすましたこのBECメールは、銀行口座情報の変更を求めています

さらに報道によると、熟練したソーシャルエンジニアリングの作品を思わせる手法で、BEC詐欺犯は「国内のマネーミュール(不正送金の実行役)」を不動産関連の詐欺に使用していました。これらのマネーミュールは、信用詐欺やロマンス詐欺を通じて採用されました。詐欺犯は、育成したマネーミュールを騙して口座を開くように仕向けます。この口座は、当局による追跡を避けるために短期間のみ使用されます。

2018年10月、FBIはBECの苦情件数が増加していることを伝える公共広告もリリースしました。その被害者には、騙されてギフトカードを購入した者も含まれていました。こうしたBEC詐欺では、権威ある立場の人間を装ったサイバー犯罪者が、標的となるユーザのPCや携帯電話に偽装メールを送ったり、電話をかけたりします。ユーザは、個人または業務上の目的でギフトカードを購入するように求められます。電信送金による支払いをさらに要求された事例もいくつか報告されました。

2017年1月から2018年8月までに記録されたBECギフトカードの苦情件数は計1,164件であり、調整済み損失額は102万1,919ドルになります。2017年1月から2018年8月までに記録された苦情件数が1,240%を超える増加率を示していることは注目に値します。これは、BECのギフトカード詐欺が増加していることを示しています。

※ https://www.ic3.gov/media/2018/181024.aspx

サイバー犯罪者は検出を避けるために悪用するファイルタイプを拡大

検出方法が進歩し続ける一方で、サイバー犯罪者も新たな回避方法を絶えず考案し続けています。この回避方法は複雑になることがあります。たとえば、ファイルレスの脅威を使用した場合です。これは、外見上は無害に見える添付ファイルに埋め込まれたマクロコードの形態で配布され、PowerShellなどの合法的なツールによって開始されます。一方、ほとんど使われないファイル形式を悪用するような単純な方法もあります。

トレンドマイクロの研究者は、旧式でほとんど使用されていないファイルタイプを利用して不正プログラムの添付ファイルを偽装した、スパムメール送信活動を確認しました。この方法では、こうしたファイルタイプの構造を活かして、ある種の検出技術(シグネチャベースの検出など)を回避したり、柔軟性に欠けた旧式のセキュリティフィルタの迂回を試みます。

その一例が.ARJファイル形式であり、昨年、Trend Micro Smart Protection Networkはこの不正ファイルを何千件も検出しました。.ARJファイルを伴うスパムサンプルを分析したトレンドマイクロの研究者は、デバイスにダウンロードされたこのファイルが実行可能ファイルをドロップされ実行されうることを確認しました。

ARJファイルを使用するスパムサンプルは、購入注文書を装って隠蔽されています。

さらに、私たちは.IQYファイルを悪用したスパムメール送信活動を発見しました。この特定の送信活動では、約50万件のスパムサンプルが検出されました。ほとんど使用されない.IQYファイルタイプを利用する選択肢は、この送信活動で導入された複数の手法の1つにすぎないことは明らかです。さらに、.IQYファイルを開くとDynamic Data Exchange (DDE) とPowerShellも続いて悪用され、最終的なペイロードはバックドアまたはトロイの木馬を配信することになります。これは、異なるファイルタイプを使用することは容易かもしれませんが、他の手法と組み合わせることで多面的な攻撃となり、ユーザや組織はより高い感染リスクをもたらすということです。

.IQYファイルを使用したスパムサンプル。日本語の件名は「写真添付」となっており、メッセージ本文には「いつもお世話になります。XLS版にて送付致します。添付ファイルのご確認、宜しくお願いいたします。宜しくお願いします。」と書かれています。

.ARJや.IQYの他にも、.Z、.PUB、SettingContent-msなどのファイルタイプをサイバー犯罪者が試行していることも確認されました。

攻撃者は著名な不正プログラム亜種の配布手段としてメールを選択

Cloud App Securityのデータは、2018年に検出された、リスクが高いメールの脅威全体の12%を不正プログラムが占めていたことを示しています。Internet of Things(IoT)デバイスの悪用、アプリのマーケットプレイス、エクスプロイトキットの使用に伴う脆弱性、不正なWebサイトに至るまで、不正プログラムの配布手法は多岐にわたっていますが、著名な不正プログラムファミリを背後で操るサイバー犯罪者にとって、メールは定番の選択肢であり続けています。

不正プログラム:12%(108万22件の検出)

不正プログラムは、2018年にCloud App Securityが検出した、リスクが高いメールの脅威全体の12%を占めていました。

その代表例は5年前に出現したEmotetです。米コンピュータ緊急事態対策チーム(US-CERT)の説明によると、Emotetは政府機関と公共/民間部門に影響を及ぼす、最も破壊的で損失の大きい不正プログラムの1つです。注目に値する多層構造のオペレーティングメカニズムを伴って発見されたEmotetは、主としてメールで配信され、金融関連のメール件名を用いて受信者を騙します。Trend Micro Smart Protection Networkのデータに基づくと、Emotetは、2018年に全世界で検出された不正プログラムファミリの第7位にランクされています。

一方、2018年に報道を賑わせたのがGandCrabランサムウェアです。4月にv2.1の亜種を配布しているスパムメール送信活動が発見されました。GandCrabは8月に再び出現し、ハングル文字のフィッシングメールを介してv4.3の亜種が韓国に配信されました。Trend Micro Smart Protection Networkのデータに基づくと、GandCrabは、2018年に検出されたランサムウェアファミリの第2位にランクされています。

2018年は、主要な感染媒体としてメールを用いる著名な不正プログラムファミリが他にも出現しました。新しい不正プログラムPoS機能とパスワード取り込みモジュール(pwgrab32)を備えたTrickbotが発見されたのです。パスワード取り込みモジュールは、Microsoft Outlook、Filezilla、WinSCP、Mozilla Firefox、Microsoft Edge、Google Chromeなどの複数のアプリケーションやブラウザからアクセス情報を盗み取ります。その一方で、サイバー犯罪者が極めて精巧な手口で使用したのがURSNIFです。この場合、ハイジャックされたメールアカウントは、進行中のメールスレッドの一部または返信としてトロイの木馬を送信します。メールのユーザがこの手口を見抜くのは困難です。というのも、サイバー犯罪者は正規のメールスレッドを利用しているからです。

コンピュータビジョン、Writing Style DNA、機械学習で高度なメールの脅威に対抗

メールの脅威は増加の一途をたどり、ますます複雑になっているため、組織は多層的なサイバーセキュリティ防御を構築し、メールの脅威がもたらすリスクに対処する必要があります。

Cloud App Securityは、Office 365などのメールサービスが標準装備するセキュリティを強化する機能を備えています。これは、メッセージ本文と添付ファイルの疑わしいコンテンツを検出する機械学習や、サンドボックスによる不正プログラムの分析、ドキュメントエクスプロイトの検出、ファイル、メール、Webレピュテーションの技術を利用することで可能になります。このセキュリティソリューションは、Office 365やPDFドキュメントに潜む高度な不正プログラムを検出し、Microsoft ExchangeやSharePointの環境を長年にわたって保護してきた経験に基づいてクラウドの効率性を最大限に高めます。さらに、リモートの同僚、クライアント、モバイルデバイスによって共有されるファイルを検索し、脅威がOneDriveやSharePointを利用して移動するのを確実に防ぎます。

リスクの高いメールの脅威から継続して企業を保護できるよう、2018年に2つの高度な新機能をCloud App Securityに搭載しました。

1つ目の機能はWriting Style DNAです。これは、BECや同種の詐欺で使用されるメール偽装手法の検出に役立つ、機械学習を活用した技術です。機械学習を使用して、過去のメールに基づくユーザの文体の癖を認識し、偽造が疑われるメールの文体と比較します。この技術では、メールコンテンツの文体における特徴を、機械学習モデルを通じて検証します。このモデルには、本来のメール送信者の文体に見られる特徴が収録されています。

2つ目の技術は、人工知能(AI)とコンピュータビジョンを組み合わせた機能です。その目的は、クレデンシャルフィッシングをリアルタイムで検出してブロックする試みを支援することです。特に最近では、本物のように見える偽のログインWebページを使用してメールのユーザを騙す手口が増えています。フィッシングが疑われるメールが通過すると、送信者、コンテンツ、URLのレピュテーション分析、コンピュータビジョンの技術、AIが即座に残りのURLを調べて、本来のログインページの商標付きの要素、ログインフォームなどのWebサイトコンポーネントがスプーフィングされていないか確認します。

こうしたテクノロジと他の機能を組み合わせると、Cloud App Securityの機能強化だけでなく、メール脅威の数や複雑さのレベルに関わらず、対抗するための俊敏性や柔軟性を高めることにつながります。その結果、Cloud App Securityは多層的なサイバーセキュリティ防御に統合すべき有力な選択肢となります。

しかし、効果的なサイバーセキュリティ戦略は、多層のサイバーセキュリティだけではなし得ません。不用意なセキュリティホールがサイバー犯罪者に悪用されることがないように、サイバーセキュリティに対する従業員の意識向上も図る必要があります。セキュリティソリューションを利用することに加えて、組織はメールの脅威に対処するベストプラクティスを従業員に伝達する必要があります。さらに、トレンドマイクロが提供する情報サイトis702(https://www.is702.jp/)や従業員教育コンテンツ(https://www.trendmicro.com/ja_jp/security-intelligence/research-reports/learning.html)を利用することで、従業員の警戒心が高まるように支援することができます。

このページは、Trend Micro Cloud App Security 2018 Reportを翻訳したものになります。
原文公開時期:2019年3月4日

記事公開日 : 2019.4.25
 この記事は、公開日時点での情報です

TREND MICRO、Trend Micro Smart Protection Network、および SPNはトレンドマイクロ株式会社の登録商標です。本ドキュメントに記載されている各社の社名、製品名およびサービス名は、各社の商標または登録商標です。記載内容は2019年4月現在のものです。内容は予告なく変更になる場合がございます。