保険会社を狙ったOffice 365を利用したフィッシング詐欺の手口について

電子メールは、非常に簡単に悪用できるため、サイバー犯罪者が着手する際の最初の選択肢となることがよくあります。処理能力が必要なブルートフォース攻撃や、高度なスキルを必要とする巧妙な手法とは異なり、ドメイン・スプーフィングは、他人のふりをしてメールを書くだけの簡単なものです。多くの場合、その「誰か」とは、人々が仕事をする上で依存している主要なソフトウェアサービスプラットフォームです。

2020年4月15日から30日にかけて、PowerDMARCのセキュリティ・アナリストが中東の大手保険会社を狙った新たなフィッシング・メールを発見した。この攻撃は、Covid-19危機の間に最近増加したフィッシングやなりすましのケースのほんの一つに過ぎない。2020年2月にも、世界保健機関(WHO)になりすまし、コロナウイルス救済のための寄付を求めるメールを数千人に送りつけるという大規模なフィッシング詐欺が発生している。

保険会社

最近の一連の事件では、マイクロソフト社のOffice 365サービスのユーザーが、ユーザーアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。これらのメールは、組織独自のドメインから送信されており、パスワードのリセットや保留中の通知を表示するためのリンクのクリックをユーザーに要求していました。

私たちが観察した、使用されているメールタイトルの一部をまとめました。

  • Microsoftアカウントの異常なサインイン活動
  • あなたの e-Mail [email protected]* Portal には、配信待ちのメッセージが 3 件あります。
  • user@domain 保留中のMicrosoft Office UNSYNCメッセージがあります。
  • リ・アクティベーション・サマリー通知 [email protected]

ユーザーのプライバシーのために、アカウントの詳細は変更されています。

また、保険会社に送信されたなりすましメールに使用されているメールヘッダーのサンプルもご覧いただけます。

Received: from [malicious_ip] (helo=malicious_domain)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)

によるマリシャスドメインesmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

からです。"マイクロソフトアカウントチーム" 

宛先 [email protected]

件名マイクロソフトオフィスのお知らせ [email protected] on 4/1/2020 23:46

日付:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″ (日本語)

Content-Transfer-Encoding: quoted-printable

X-AntiAbuseこのヘッダは不正行為を追跡するために追加されたもので、不正行為の報告にはこのヘッダを含めてください。

X-AntiAbuseプライマリホスト名 - malicious_domain

X-AntiAbuse:オリジナルのドメイン - domain.com

X-AntiAbuse:オリジネーター/コーラーのUID/GID - [47 12] / [47 12] 。

X-AntiAbuse送信者アドレス ドメイン - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Sourceです。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.comのドメインが指定されていない) malicious_ip_address を許可された送信者として指定していない) client-ip=malicious_ip_address ; エンベロープ-from=[email protected]; helo=malicious_domain;

X-SPF-Result: domain.comのドメインが指定されていません。 悪質なIPアドレス を許可された送信者として指定していません。

X-Sender-WarningリバースDNSルックアップが 悪意のあるIPアドレス と表示されました(失敗)。

X-DKIM-Status: none / / ドメイン.com / / /

X-DKIM-Status: pass / / マリシャスドメイン / malicious_domain/ / デフォルト

 

当社のセキュリティオペレーションセンターは、メールのリンク先を追跡したところ、Microsoft Office 365のユーザーを対象としたフィッシングURLであることがわかりました。このURLは、世界のさまざまな場所にある危険なサイトにリダイレクトされていました。

これらのメールのタイトルを見ただけでは、組織のドメインを詐称して送信されたものだとはわからないでしょう。私たちは、Office 365のようなオンラインサービスへのサインインを促す、仕事やアカウントに関連したメールを継続的に受け取ることに慣れています。ドメイン偽装は、そのような状況を利用して、偽の悪質なメールを本物のメールと見分けがつかないようにします。信頼できる送信元からのメールであるかどうかは、そのメールを徹底的に分析しない限り、事実上知ることはできません。しかし、毎日何十通ものメールが送られてくる中で、すべてのメールを精査する時間はありません。唯一の解決策は、あなたのドメインから送信されたすべてのメールをチェックし、認証されていない誰かが送ったメールだけをブロックするような認証メカニズムを採用することです。

保険会社

その認証メカニズムはDMARCと呼ばれています。世界有数のメールセキュリティソリューションのプロバイダーとして、私たちPowerDMARCは、組織のドメインを保護することの重要性を理解していただくことを使命としています。自分自身のためだけでなく、安全で信頼できるEメールを毎回受信トレイに届けることを信頼し、頼りにしているすべての人のためです。

なりすましのリスクについてはこちらをご覧ください: https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを保護し、ブランド力を高める方法については、こちらをご覧ください: https://powerdmarc.com/what-is-dmarc/

保険会社

/によって

コロナウイルスを利用した詐欺行為について

世界各地でコヴィド19対策のためのチャリティ基金が設立されている中、インターネットの電子管では別の種類の戦いが繰り広げられています。コロナウイルスの大流行の中、世界中の何千人もの人々が、なりすましメールやコビッド19のメール詐欺の被害に遭っています。最近では、サイバー犯罪者が本物の組織のドメイン名をメールに使用して、正当なものであるかのように装うケースが増えています。

最近話題になったコロナウイルス詐欺では、世界保健機関(WHO)と思われるメールが世界中に送られ、「連帯対応基金」への寄付を要求されました。送信者のアドレスは「[email protected]」。「who.int」はWHOの実際のドメイン名である。このメールはフィッシング詐欺であることが確認されましたが、一見すると送信者が本物であることを示すサインばかりでした。このドメインはWHOのものだったのだ。

レスポンスファンドを寄付する

しかし、これは、コロナウイルスに関連したメールを使って人々から金銭や機密情報を盗むフィッシング詐欺が増えている中の一つに過ぎません。しかし、送信者が本物のドメイン名を使用している場合、正規のメールと偽物のメールをどのように区別すればよいのでしょうか?なぜサイバー犯罪者は、このような大規模な組織にメール・ドメイン・スプーフィングを簡単に採用できるのでしょうか?

また、WHOのような組織は、誰かが自分のドメインを使ってフィッシング攻撃を行った場合、どうやってそれを見つけるのでしょうか?

電子メールは、世界で最も広く使われているビジネスコミュニケーションツールですが、完全にオープンなプロトコルです。それだけでは、誰がどのメールアドレスからどのようなメールを送信したかを監視することはほとんどできません。これは、攻撃者が信頼のおけるブランドや公人になりすまして、金銭や個人情報の提供を求める場合に大きな問題となります。実際、近年の企業のデータ流出の90%以上は、何らかの形でメール・フィッシングが関与していると言われています。そして、メールのドメイン偽装は、その代表的な原因の一つです。

電子メールの安全性を確保するために、SPF(Sender Policy Framework)DKIM(Domain Keys Identified Mail)などのプロトコルが開発されました。SPFは送信者のIPアドレスと承認されたIPアドレスのリストを照合し、DKIMは暗号化されたデジタル署名を使用して電子メールを保護します。これらは個々には有効ですが、それぞれに欠点があります。2012年に開発されたDMARCは、SPFとDKIMの両方の認証を用いて電子メールを保護するプロトコルで、電子メールがDMARCの検証に失敗すると、ドメイン所有者にレポートが送られる仕組みになっています。

つまり、認証されていない第三者からメールが送られてくると、ドメイン所有者に通知されるのです。そして重要なのは、ドメイン所有者は、認証されていないメールをどのように処理するかをメール受信者に伝えることができるということです。つまり、受信箱に入れる、隔離する、あるいは完全に拒否する、ということです。理論的には、悪質なメールが人々の受信箱に溢れるのを防ぎ、私たちが直面しているフィッシング攻撃の数を減らすことができるはずです。では、なぜそうならないのでしょうか。

DMARCはドメイン・スプーフィングやCovid-19電子メール詐欺を防止できるか?

電子メール認証では、送信者ドメインがSPF、DKIM、DMARCレコードをDNSに公開する必要がある。ある調査によると、2018年に有効なSPFレコードを公開していたのはAlexa上位100万ドメインの44.9%のみで、有効なDMARCレコードを持っていたのはわずか5.1%だった。しかも、DMARC認証のないドメインは、セキュリティが確保されているドメインの4倍近くもなりすましに悩まされているにもかかわらず、である。DMARCの本格的な導入は、ビジネス界全体にわたって不足しており、しかも、ここ数年、あまり改善されていない。ユニセフのような組織でさえ、まだドメインにDMARCを実装しておらず、ホワイトハウスと米国防総省はともにDMARCポリシーをp=noneとしている。

バージニア工科大学の専門家が行った調査により、大手企業やDMARC認証をまだ使用していない企業が挙げた最も深刻な懸念事項が明らかになりました。

  1. 展開の難しさ。セキュリティプロトコルを厳格に実施するには、大規模な組織では高度な調整が必要になることが多いが、そのためのリソースがない場合も多い。さらに、多くの組織ではDNSをあまり管理していないため、DMARCレコードの発行はさらに困難になります。
  2. コストを上回らないメリット。DMARC認証は通常、ドメイン所有者ではなく、電子メールの受信者に直接利益をもたらします。新しいプロトコルを採用する真剣な動機付けがないため、多くの企業がDMARCをシステムに組み込むことができないでいる。
  3. 既存のシステムを破壊するリスク。DMARCは比較的新しいため、不適切な実装が起こりやすく、正当なメールが届かないという非常に現実的なリスクがあります。電子メールの流通に依存している企業は、そのような事態を避けることができないため、DMARCの採用を見送っている。

DMARCが必要な理由の認識

この調査で企業が表明した懸念には明らかに理由がありますが、だからといってDMARCの実装がメールセキュリティにとって不可欠でなくなるわけではありません。企業がDMARC認証ドメインなしで機能し続ければ続けるほど、私たち全員がメールフィッシング攻撃の非常に現実的な危険にさらされることになります。コロナウイルスのなりすましメール詐欺が教えてくれたように、誰も標的にされたり、なりすまされたりすることから安全ではありません。DMARCをワクチンのように考えてください。DMARCを使う人が増えれば増えるほど、感染する確率は劇的に下がります。

この問題には、DMARCの採用に対する人々の懸念を払拭するような、現実的で実行可能な解決策がある。ここでは、導入率を大幅に向上させることができるいくつかの例を紹介する。

  1. 導入における摩擦の軽減:企業がDMARCを導入する際に立ちはだかる最大のハードルは、DMARCに関連する導入コストである。経済は低迷し、リソースは不足しています。そのため、PowerDMARCは産業界のパートナーであるGlobal Cyber Alliance (GCA)と共に、Covid-19パンデミックの期間限定キャンペーンを発表しました。DMARCソリューションを数分でセットアップし、PowerDMARCを使用してメールの監視を今すぐ始めましょう。
  2. 知覚された有用性の向上。DMARC が電子メールのセキュリティに大きな影響を与えるためには、SPF、DKIM、DMARC のレコー ドを公開するユーザーの数が非常に多くなる必要がある。DMARC で認証されたドメインに「Trusted」または「Verified」のアイコンを与えることで(ウェブサイトの HTTPS 化を促進するように)、ドメインの所有者は自分のドメインに対する好意的な評価を得ようとするインセンティブを得ることができる。この評価が一定の閾値に達すると、DMARC で保護されたドメインは、そうでないドメインよりも好意的に見られるようになる。
  3. 導入の合理化。なりすまし防止プロトコルの導入と設定を容易にすることで、より多くのドメインがDMARC認証に同意するようになるだろう。これを実現する1つの方法は、プロトコルを「監視モード」で実行できるようにすることです。これにより、メール管理者は、本格的な導入を行う前に、システムに与える影響を評価することができます。

新しい発明には、新しい課題がつきものです。新しい課題があると、それを克服するための新しい方法を見つけなければならない。DMARCが登場してから数年が経つが、フィッシングはもっと前から存在している。最近の数週間では、Covid-19の大流行により、新たな顔を持つことになった。PowerDMARCでは、この新しい課題に正面から取り組むためのお手伝いをします。あなたがコロナウイルスから安全に家にいる間に、あなたのドメインがメールスプーフィングから安全になるように。

保険会社

/によって