ブログとストーリー

SpiderLabsブログ

年間50万人以上の読者を魅了しているブログがセキュリティ コミュニティの主要目的地になっているのは、最新の脅威の技術的な分析、重要な脆弱性に関する開示、最先端の研究が掲載されているからです。

BEC 攻撃による高度な詐欺

バックグラウンド

「CEO 詐欺」または「ホエーリング」とも呼ばれる BEC(Business Email Compromise: ビジネス電子 メール侵害)電子メール詐欺は、世界中のあらゆる規模の企業に影響を与える重要な金融サイバ ー脅威になっています。この攻撃では、詐欺師が組織の役員になりすまして、組織内の個人を騙 して金銭や機密情報を送信するように仕向けます。FBI によると、このような詐欺は 2013 年以降、 被害者に 120 億ドル以上の犠牲を払わせており、最近、これらの詐欺師を崩壊させるために世界 的にコーディネートされた一斉検挙が実施されました。

その他ほとんどのサイバー攻撃とは対照的に、BEC の基本的な不正侵入攻撃では、技術的な脆 弱性を悪用したり、マルウェアを使用したりする必要はありません。代わりに、組織内で働く個人 が、詐欺師の悪意のある目的を進めるために、人間の信頼を利用して標的にされます。

このブログでは、過去 12 ヶ月間の観察を通してわかった、BEC 詐欺を実行するためにサイバー 犯罪者が使ったいくつかのトリックと新しいテクニックを紹介します。

攻撃者は常に BEC 攻撃へのアプローチを進化させていますが、ワイヤー詐欺は BEC 詐欺の最 も一般的な形態です。これらのメッセージは一般的に短く、詳細を提示せずに応答する必要があ り、図 1 および図 2 に示すように疑いを避けるための緊急性を伝えます。

Fig1

図 1: 典型的な短い BEC 詐欺メッセージ。緊急性を訴え、電信送金を要求する

 

Fig2

図 2: 類似のドメインから財務部門に送信された BEC 詐欺メッセージ

スプーフィングされた BEC メッセージ

多くの BEC 詐欺メールには、ターゲット組織に偽装された詳細情報を使用してメールの発信元を 偽装するヘッダーが含まれています。つまり、「送信者」アドレス欄にターゲットの実際のドメインを 使用します(電子メールメッセージの送信者アドレスを偽装して、他人からのものであるように見え るようにする)。この手法により、BEC 詐欺の電子メールが組織内から送られているように見えま す。

BEC の基本的なヘッダートリック

BEC 詐欺師が採用する一般的でシンプルな手法は、図 3 に示すように、「From」アドレスに書かれ た詐称された組織の実ドメインとは異なるドメインを「Reply-To」アドレス内で使用することです。返 信は、詐欺師によってコントロールされる「Reply-To」フィールドに入力された電子メールに送られ ます。「From」フィールドと「Reply-To」フィールドに記載されたアドレスの違いは、通常ではないこと を示す良い指標となりますが、BEC の詐欺メールでよく使用されています。

BEC 電子メールの約 19% は、「From」アドレスとは異なる「Reply-To:」アドレスを持ち、12% は 「From」ドメインにターゲット組織のドメインを使用しています。

Fig3

図 3: 財務年度の終わりの時期によく現れる、攻撃者が管理する FTP サーバーへのアップロードリンクを含む W-2 詐欺メッセージ

BEC 類似ビジネスドメイン攻撃

もう 1 つのシナリオは、攻撃者がターゲットドメインに、類似した「From」ドメインを使用する場合で す。最高経営責任者(CEO)や会社の CFO からの電子メールは、攻撃者が管理する類似のドメイ ンを使用して作成され、本物の従業員に送信され、海外銀行口座への緊急電信送金を頻繁に要 求します。そのような要求を迅速に処理する勤勉な従業員は、このような詐欺に陥り、組織に金銭 的損失をもたらします。

詐欺師が似た見た目を持つドメインを実現する方法を以下に列挙します。

  1. ドメイン名にダッシュ( - )をつけたブランド名: ダッシュ(' - ')で区切られることが多い、ランダムな単語の接頭辞または後置詞としてブラ ンド名を含む攻撃者の登録ドメイン。 例) “facebook-randomdictionaryword.com”
  2. ブランド名の同形異義語(ホモグラフ): ブランド名の一部の文字を数字で置き換える。 例) 'O' を '0'(数字のゼロ)に、 'I' または 'L' を '1' に置き換える
  3. スペルが間違っているブランド名: 意図的なタイプミスやターゲットドメインのスペルミスのあるドメインを登録する。 例) “facebok.com” や “iphnoe.com” など。
  4. サブドメインに埋め込まれたブランド名: 無料のドメインレジストラを使用して、サブブランドとしてターゲットブランド名を登録すること が多いため、ブランド名が元のドメインにドット('.')で追加される。 例) “facebook.freewebhostingdomain.com”
  5. 別の TLD: 珍しい一般的なトップレベルドメインまたは TLD でブランド名を登録。 例) “brandname.xyz”や”brandname.top” など。

BEC 電子メールの約 4% は、 "From"アドレスに類似ドメインを使用しています。

エグゼクティブ名偽造

また、BEC 詐欺電子メールでは、電子メールヘッダー「From」フィールドの表示名部分に攻撃者が エグゼクティブ名(「Bill Gates」など)を使用する ID なりすましが一般的です。名前は「From」フィー ルドの「実名」部分に表示され、必ずしも電子メールアドレス部分ではないことに注意してください。 実際のメールアドレスはターゲットとはまったく関係なく、通常 Gmail や Comcast などのメッセージ の送信に使用される無料のウェブメールプラットフォームのドメインとはまったく関係していないこと にも注意してください。約 84% の BEC 電子メールがこのカテゴリに該当しています。

このようなタイトルの偽装は、伝統的に電子メールの「From」フィールドの表示名部分に CEO と CFO のタイトルを使用します。しかし、攻撃者は、図 4, 5, 6 に示すように、複数の部署にまたがる 従業員をターゲットにして、ターゲットに関する詳細なバックグラウンド調査を示す組織内の役員や インフルエンサーを追加しています。

Fig4

図 4: 無料の電子メールアカウントから送信された BEC メッセージ

Fig5

図 5: 偽装された名前と管理ディレクターの肩書きを持つ無料の電子メールアカウントからの BEC 電子メール

Fig6

図 6: From フィールドに正当な CEO のアドレスが偽装され送信された BEC 詐欺メールですが、 Reply-To ヘッダーには詐欺師によってコントロールされる電子メールがあります

添付ファイルの使用

一部の BEC メッセージでは、被害者に宛てた送金情報を含む PDF 添付ファイルが使用されま す。添付ファイルには、正当な要求の印象を伝えるために、偽造されたロゴや銀行の詳細が含ま れることがよくあります。そのようなメッセージのスクリーンショットを図 7 と図 8 に示します。

Fig77

図 7:アカウントの詳細と電信送金の指示を含む PDF 添付ファイルを含む BEC メッセージ

Fig8

図 8:詐欺師が BEC メッセージにアカウント詳細と電信送金の指示を含む PDF ファイルを添付して送信

 

BEC 符号化メッセージ攻撃

標的について注意深く学ぶだけでなく、一部の BEC 詐欺師は、電子メールゲートウェイによる検 出を避けるために、メッセージ内の特定の文字を置換することによって符号化トリックを使用してい ます。この BEC メッセージは、電子メールクライアント(この例では Thunderbird)で開いたときの通 常の電子メールのように表示されます。しかし、16 進エディタで詳しく見ると、その本質がわかりま す。図 9、図 10、図 11 に示すように、いくつかの場所でキリル文字を「a」、「c」、「e」、「y」などのア スキー文字と入れ替えるために意図的に改ざんされています。

Fig10

図 9: Thunderbird 電子メールクライアントによってレンダリングされた、 符号化された UTF 文字を含むメッセージ


Fig10

図 10: 16 進エディタで表示されるメッセージ


Fig10

図 11: 数カ所で、'a', 'c', 'e', 'y' の文字に対する符号化された/混乱させる文字があることに注目してください。 'e'の 16 進コードが強調表示されています。 'D0B5' これはキリル文字の小文字 e の utf-8 エンコードです。

 

ヘッダートリックから進化した BEC

一部の BEC メッセージは、攻撃者の実際の電子メールアドレスを隠すために特別に細工された 「From」ヘッダーを使用します。これらのトリックは、 「From」フィールドのどこかに埋め込まれた別 のアドレスを表示するために電子メールクライアントをだまそうとします。図 12 は、攻撃者の電子 メールが Thunderbird に示されているように、「From」フィールドに追加の電子メールアドレスとして 隠されていることを示しています。展開されたバージョンは図 12 に示されていますが、Outlook の 例では図 13 に示すように単一の「From」アドレスのみが表示されています。図 14 に、この特別に 細工された「From」アドレス文字列の生のテキスト表現を示します。引用符内のアドレスは注意す べき良い指標です。犠牲者がこのようなメッセージに返信すると、埋め込まれた攻撃者の電子メー ルに返信されます。このようなメッセージは、さまざまな電子メールクライアントで異なって見えるこ とに注意することが重要です。

Fig13

図 12: Thunderbird に表示された複数アドレスを持つ「From」フィールドを含む BEC メッセージ

Fig13

図 13: Outlook に表示された複数アドレスからなる BEC メッセージ(1 アドレスしか表示されていない)


Fig13

図 14: 特別に細工された文字列は、攻撃者が電子メールの差出人フィールドで検出されるのを回避し、 電子メールクライアントが悪意のある電子メールを隠すために使用されます

長いシナリオを用いて被害者を誘惑する BEC 攻撃

我々が観測した BEC 詐欺に関する新しい傾向として、機密性の高いビジネス要件における法的 影響があるという理由で、犠牲者を偽の秘密に招き入れる、長くパーソナライズされたメッセージ があります。このような BEC メッセージは、被害者に、法律上および事業上の特定の要件を慎重 に遂行してビジネス問題の機密性と合法性に起因する漏洩を避けるために、会社の弁護士に準 拠しなければならないことを知らせる法律事務所への言及を含んでいます。これに続いて、攻撃 者から会社の銀行口座情報を提供するようにという要求があります。これらの声明は、組織の財 務上の仕事について、攻撃者に豊富な情報を提供します。これらのやりとりを勉強した後、攻撃者 は、地理的に異なる場所にある、異なるもしくは同じ銀行に開かれた同様の銀行のタイトルを使用 して、偽造する特定の口座への資金移動を要求することができるかもしれません。

Fig15

図 15: ストーリーを構築し、犠牲者から機密の銀行情報を要求している長い BEC 詐欺メッセージ

ギフトカードを要求する BEC 電子メール

最近、iTunes, Amazon, Walmart ギフトカードを犠牲者に要求する BEC メッセージが観測されまし た。この攻撃は、緊急性を主張する簡潔な簡略メッセージテンプレートを使用して実行されます が、今回は、図 16 および図 17 に示す通常の電信送金依頼ではなく、物理ギフトカードのクレデン シャル情報を要求しています。

Fig17

図 16: iTunes ギフトカードを要求する BEC 詐欺メッセージ


Fig17

図 17: 被害者に iTunes ギフトカードを要求する BEC 詐欺メッセージ

学校や学術機関を対象とする BEC 攻撃者

観察されたもう 1 つの傾向は、理事長や学校長から教員をターゲットとして送られる、電信送金や ギフトカードを要求する BEC の詐欺メールです。一例を図 18 に示します。

Fig18

図 18: 学校を対象とした BEC 詐欺メッセージ

BEC 会話の例

私たちは、BEC 詐欺師がどのように被害者を誘惑して、彼らの最高経営責任者(CEO)が、彼らの 迅速な対応を要求し、徐々に騙していくのかを観測しました。最近、2017 年 11 月に実際に起きた CEO 詐欺師と犠牲者の間の完全な BEC の会話を、私たちのブログ記事で報告しました。これは、 詐欺における最初から最後までの洞察を提供する優れた読み物です。

結論

サイバー犯罪者は、組織の役員になりすました電子メールを送信して、信頼できる従業員を欺い て金銭的損失をもたらす行動を実行させるという、ソーシャルエンジニアリング手法を活用してい ます。

BEC 詐欺は、詐欺師にとってますます大きなビジネスとなっています。組織は個人よりも深いポケ ットを持ち、この詐欺は従業員がボスを喜ばせようとする意欲を食い物にしています。この手法が 彼らにとって有効であることが証明されているので、このバンドワゴンに飛び乗っている詐欺師の 数は著しく増加しています。

BEC 詐欺師は、その目的をさらに進めるために技術を進化させ続けています。私たちは現在、さ まざまな業界セクターのあらゆる組織を対象とした BEC 攻撃の増加を目の当たりにしています。 BEC の脅威は非常に現実的であり、このビジネスには本物のお金がかかっています。

SEG 顧客のための注意

Trustwave Secure Email Gateway(SEG)のお客様は、BEC 詐欺の独自の性質を正に目的とした ルールや特殊なフィルタを含む、BEC 詐欺への対策に役立つさまざまな機能をご利用いただけま す。これはとても複雑な領域であり、すべてを説明するのを助けるために、多くのバックグラウンド の詳細と設定オプションを説明する 2 つのドキュメントを作成しました。詳細は、当社のBEC 詐欺 プロテクトガイドに含まれています。このガイドは、Web サイトのドキュメントエリアでご利用いただ けます(顧客ログインが必要です)。