ニュース
「CEOからの緊急連絡」を装うなりすましメールが増加、従業員の電話番号を取得して身代金を獲得しやすくする狙い
Trellixが2022年第4四半期脅威レポートを公開
2023年3月15日 20:35
「自社のCEOからのメール」だと、それが実際には偽メールであっても、確認せずに開封したり、情報漏えいなどの被害にあったりする事例が、世界中で増加している――そのような事実が明らかになった。
これは、XDR(Extended Detection and Response)プラットフォームを提供しているTrellix(トレリックス)が公開した脅威レポート「The Threat Report:February 2023」で示されたもの。同レポートによると、CEOを装ったなりすましメールでは、2022年第3四半期から第4四半期にかけて64%も増加した。
CEOかたり、従業員がドキッとするフレーズで情報の窃取などを狙う
同レポートでは「CEOをかたる詐欺メールうち、無料メールサービスを利用して送信された割合は82%に達している」と指摘しながら、「CEOから送られたメールは会社のドメインでなくても気が付かずに開封してしまう傾向がある。その背景には、CEOがよく使うフレーズが使用されていることが挙げられる」としている。
CEOをかたる詐欺メールでよく使われる(偽の)CEOからのフレーズとしては「I need you to carry out a task for me immediately(すぐに実行してほしいことがある)」、「I need you to get a task done so kindly forward me your cell phone number(君にお願いしたい仕事があるので、携帯電話番号を転送してほしい)」「Did you receive my previous email? I have a Profitable deal for you(私が以前送ったメールは確認したか? 君にとって悪くない話のはずだ)」などが挙げられている。
自社のCEOから言われるとドキッとするようなフレーズを使って、クリックさせたり、情報を窃取したりといったことを狙った例が多く、従業員の携帯電話の番号を取得することで、身代金を獲得しやすくする狙いがありそうだと、レポートでは分析している。
実際、調査によると、ビジネスメール詐欺(BEC)のうちの78%が、上記のようなフレーズを使用していたという。
Trellix常務執行役の櫻井秀光氏(セールスエンジニアリング本部 シニアディレクター)は、「CEOをかたったメッセージがきても、82%が無料メールサービスを利用したものだ(CEOの正規のメールアドレスからのものではない)」と警告。「セキュリティ製品の検知をすり抜けて送られてきたものも多いが、そうであってもドメインを確認するなど、個人で対処できるケースも少なくない。相手がCEOを名乗っていても慌てずに、どこから送られて来たものなのか、偽メールではないのかといったことを確認して対応してほしい」と警鐘を鳴らした。
最も影響力があったランサムウェアグループはLockBit 3.0
今回の脅威レポートは、2022年第4四半期(2022年10月~12月)を対象に、同社のTrellix Advanced Research Center(トレリックスアドバンストリサーチセンター)を通じて、世界中で利用されている同社製品から得られる情報を集計したものだ。業界で最もまん延した攻撃者や脅威ファミリー、攻撃キャンペーン、攻撃手法などの情報のほか、ランサムウェアのリークサイトやセキュリティ業界のレポートなどの情報を新たに追加。それらをもとに、Trellixの脅威インテリジェンスグループが独自の精査、分析を行い、より精度を高めて結果をまとめたという。
調査によると、2022年第4四半期に最も影響力があったランサムウェアグループはLockBit 3.0だという。「検知情報の数では第3位であったが、独自に収集した情報によると、Cubaランサムウェアと並び、2番目に報告されたランサムウェアグループであったこと、身代金を支払わなかったためにリークサイトで被害者情報を公開した数が最も多かったことを総合的に判断し、最も悪質なランサムウェアグループであったと判断した」と理由が説明された。
なお、LockBit 3.0のリークサイトによると、2022年第4四半期に影響を最も受けたセクター(業種)は「産業財・サービス」であり、国別では、米国企業の49%が最も多く、次いで英国企業となった。
APTは攻撃者グループの71%が中国、米国が55%の被害
APT攻撃(Advanced Persistent Threat:標的型攻撃)では、中国を拠点とする攻撃者グループが最も多く全体の71%を占め、北朝鮮、ロシア、イラン、レバノンと続いている。最も活発な攻撃者グループはMustang Pandaとなり、攻撃の37%を占め、UNC44191、Lazarusが続いている。
最も攻撃を受けた国は米国で55%。産業別では、運輸・海運が69%と最も多く、次いで、エネルギー/石油・ガス、卸売となった。なお、国家主導型の攻撃で最も使用された悪意のあるツールは、リモートアクセスツール(RAT)のPlugXだったという。櫻井氏は「APT攻撃ではマルウェアが主流だが、RATを使って足場を作り、その端末をリモートから制御し、横展開して、欲しい情報にたどり着ける端末を特定。情報を抜き出す手法が多い」と解説した。
環境寄生型攻撃が広がり、特定のOSバイナリを継続的に悪用
このほか、デバイス上に常駐する環境寄生型攻撃(Living off the Land Banally)が広がっているという。この攻撃は、初期侵入フェーズから、マルウェア実行、横展開や持続、情報を窃取するまでのあらゆるフェーズで活用されていることを、櫻井氏は指摘した。
環境寄生型攻撃において最も利用されたOSバイナリでは、Windows Command Shellが47%とほぼ半数を占め、次いで、PowerShellの32%、Rundl32の27%と、特定のOSバイナリが継続的に悪用されていることが分かった。また、環境寄生型攻撃は、経験豊富なAPT攻撃者だけでなく、金銭目的の犯罪グループやハクティビストなど、さまざまな攻撃者が利用しているという。
リモートアクセスツールが常に悪用対象上位、Log4jへの攻撃も続く
攻撃者が悪用するサードパーティー製品では、RAT(Remote Access Tool)が常に上位にランクインしているほか、セキュリティ専門家が使用するツールが引き続き悪用されていることも分かった。「Cobalt Strikeは、セキュリティの専門家が利用するツールとしては多機能だが、多機能であることを悪用される例が続いている」(櫻井氏)という。さらに、攻撃者は、無料ツールやオープンソースツールを使い、悪意のあるコンテンツを含ませて、正規のソフトウェアとして再パッケージ化したり、マルウェアの難読化によって、セキュリティ製品による検出を回避したり、分析の妨害を行ったりしているという。
同社のXDRで検知した主要な脅威では、Log4jが最も多く30%を占め、「既知の脆弱性が狙われていることが分かる。Log4jのパッチを当てていないところを探して、この脆弱性を突く攻撃者が多い」と指摘した。
サッカーW杯に便乗したメール攻撃のほか、ビッシングの増加にも注意
メールセキュリティでは、2022年11月に開催されたサッカーW杯にあわせて、W杯をテーマにした悪意のあるメールが増加したことに触れ、「開催直前となった2022年10月には、悪質な電子メールが、8月および9月比で2倍増になっている」という。アラブ諸国を標的とした攻撃キャンペーンのうち、最も利用されたマルウェアが「Qakbot」で全体の40%を占めたという。「バックドア機能を持つ情報窃取型およびバンキング型トロイの木馬であり、他の感染被害者の不正なアカウントを使用し、既存の電子メールの会話の途中に悪意のある返信を挿入するもの」(櫻井氏)だという。
2022年第4四半期に、悪意のあるメールによって最も影響を受けたセクターは通信分野で42%。続いて、政府、教育、金融となった。さらに、フィッシングメールのうち、87%を占めたのが悪意があるURLによるもので、2022年第4四半期に最も多くみられた攻撃手法だったという。
一方、音声によって被害者をだますビッシング(Voice Phishing)が増加していることも指摘した。ビッシングは、フィッシングの一種であり、音声を使って情報の盗み出し(聞き出し)を行う攻撃手法である。メール本文にURLを含めず、電話番号を表記するだけで攻撃が成立するために、セキュリティ製品の検知を回避しやすかったり、電話で返事することで安心してかけてしまうという特徴を悪用しているという。
調査によると、ビッシングは2022年第3四半期に比べて第4四半期には142%も増加しているという。また、ビッシングの85%に無料のメールサービスが利用されており、Nortonや McAfee、Geek Squad、Amazon、PayPalなどのサービスを悪用したビッシングが行われているという。櫻井氏は「電話番号が書かれていたとしても、無料メールサービスから送られてきたものには注意する必要がある」と指摘した。