保険会社を狙ったOffice 365を利用したフィッシング詐欺の手口について

電子メールは、非常に簡単に悪用できるため、サイバー犯罪者が着手する際の最初の選択肢となることがよくあります。処理能力が必要なブルートフォース攻撃や、高度なスキルを必要とする巧妙な手法とは異なり、ドメイン・スプーフィングは、他人のふりをしてメールを書くだけの簡単なものです。多くの場合、その「誰か」とは、人々が仕事をする上で依存している主要なソフトウェアサービスプラットフォームです。

2020年4月15日から30日の間に、PowerDMARCのセキュリティアナリストが、中東の大手保険会社をターゲットにした新しいフィッシングメールの波を発見しました。この攻撃は、Covid-19危機の際に増加したフィッシングやスプーフィングの事例の中の一つに過ぎませんでした。2020年2月には、別の大規模なフィッシング詐欺が、世界保健機関になりすまして、コロナウイルス救済のための寄付を求めるメールを何千人もの人々に送信するという事態にまで発展しました。

最近の一連の事件では、マイクロソフト社のOffice 365サービスのユーザーが、ユーザーアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。これらのメールは、組織独自のドメインから送信されており、パスワードのリセットや保留中の通知を表示するためのリンクのクリックをユーザーに要求していました。

私たちが観察した、使用されているメールタイトルの一部をまとめました。

  • Microsoftアカウントの異常なサインイン活動
  • あなたの e-Mail [email protected]* Portal には、配信待ちのメッセージが 3 件あります。
  • [email protected] 保留中のMicrosoft Office UNSYNCメッセージがあります。
  • リ・アクティベーション・サマリー通知 [email protected]

ユーザーのプライバシーのために、アカウントの詳細は変更されています。

また、保険会社に送信されたなりすましメールに使用されているメールヘッダーのサンプルもご覧いただけます。

Received: from [malicious_ip] (helo=malicious_domain)

id 1jK7RC-000uju-6x

for [email protected]; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)

によるマリシャスドメインesmtpsa (TLSv1.2:ECDHE-RSA-AES2 56-gcm-sha384:256)

からです。"マイクロソフトアカウントチーム" 

宛先 [email protected]

件名マイクロソフトオフィスのお知らせ [email protected] on 4/1/2020 23:46

日付:2020年4月2日 22:31:45 +0100

Message-ID: <[email protected]>

MIME-Version: 1.0

Content-Type: text/html;

charset="utf-8″ (日本語)

Content-Transfer-Encoding: quoted-printable

X-AntiAbuseこのヘッダは不正行為を追跡するために追加されたもので、不正行為の報告にはこのヘッダを含めてください。

X-AntiAbuseプライマリホスト名 - malicious_domain

X-AntiAbuse:オリジナルのドメイン - domain.com

X-AntiAbuse:オリジネーター/コーラーのUID/GID - [47 12] / [47 12] 。

X-AntiAbuse送信者アドレス ドメイン - domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: [email protected]_domain

X-Authenticated-Sender: malicious_domain: [email protected]_domain

X-Sourceです。 

X-Source-Args: 

X-Source-Dir: 

Received-SPF: fail ( domain.comのドメインが指定されていない) malicious_ip_address を許可された送信者として指定していない) client-ip=malicious_ip_address ; エンベロープ-from=[email protected]; helo=malicious_domain;

X-SPF-Result: domain.comのドメインが指定されていません。 悪質なIPアドレス を許可された送信者として指定していません。

X-Sender-WarningリバースDNSルックアップが 悪意のあるIPアドレス と表示されました(失敗)。

X-DKIM-Status: none / / ドメイン.com / / /

X-DKIM-Status: pass / / マリシャスドメイン / malicious_domain/ / デフォルト

 

当社のセキュリティオペレーションセンターは、メールのリンク先を追跡したところ、Microsoft Office 365のユーザーを対象としたフィッシングURLであることがわかりました。このURLは、世界のさまざまな場所にある危険なサイトにリダイレクトされていました。

これらのメールのタイトルを見ただけでは、組織のドメインを詐称して送信されたものだとはわからないでしょう。私たちは、Office 365のようなオンラインサービスへのサインインを促す、仕事やアカウントに関連したメールを継続的に受け取ることに慣れています。ドメイン偽装は、そのような状況を利用して、偽の悪質なメールを本物のメールと見分けがつかないようにします。信頼できる送信元からのメールであるかどうかは、そのメールを徹底的に分析しない限り、事実上知ることはできません。しかし、毎日何十通ものメールが送られてくる中で、すべてのメールを精査する時間はありません。唯一の解決策は、あなたのドメインから送信されたすべてのメールをチェックし、認証されていない誰かが送ったメールだけをブロックするような認証メカニズムを採用することです。

その認証機構はDMARCと呼ばれています。そして、私たちPowerDMARCは、メールセキュリティソリューションを提供する世界有数の企業として、組織のドメインを保護することの重要性を理解していただくことを使命としています。あなた自身のためだけではなく、あなたが安全で信頼できるメールを毎回受信箱に届けてくれると信頼し、依存しているすべての人のために。

なりすましのリスクについてはこちらをご覧ください: https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを保護し、ブランド力を高める方法については、こちらをご覧ください: https://powerdmarc.com/what-is-dmarc/

 

/by

コロナウイルスを利用した詐欺行為について

世界各地でコヴィド19対策のためのチャリティ基金が設立されている中、インターネットの電子管では別の種類の戦いが繰り広げられています。コロナウイルスの大流行の中、世界中の何千人もの人々が、なりすましメールやコビッド19のメール詐欺の被害に遭っています。最近では、サイバー犯罪者が本物の組織のドメイン名をメールに使用して、正当なものであるかのように装うケースが増えています。

最近話題になったコロナウイルス詐欺では、世界保健機関(WHO)からと思われるメールが世界中に送られ、「連帯対応基金」への寄付を求めていました。差出人のアドレスは「[email protected]」で、「who.int」はWHOの実際のドメイン名です。このメールはフィッシング詐欺であることが確認されましたが、一見したところ、送信者は本物であることがわかりました。結局のところ、このドメインは本物のWHOに属していたのです。

レスポンスファンドを寄付する

しかし、これは、コロナウイルスに関連したメールを使って人々から金銭や機密情報を盗むフィッシング詐欺が増えている中の一つに過ぎません。しかし、送信者が本物のドメイン名を使用している場合、正規のメールと偽物のメールをどのように区別すればよいのでしょうか?なぜサイバー犯罪者は、このような大規模な組織にメール・ドメイン・スプーフィングを簡単に採用できるのでしょうか?

また、WHOのような組織は、誰かが自分のドメインを使ってフィッシング攻撃を行った場合、どうやってそれを見つけるのでしょうか?

電子メールは、世界で最も広く使われているビジネスコミュニケーションツールですが、完全にオープンなプロトコルです。それだけでは、誰がどのメールアドレスからどのようなメールを送信したかを監視することはほとんどできません。これは、攻撃者が信頼のおけるブランドや公人になりすまして、金銭や個人情報の提供を求める場合に大きな問題となります。実際、近年の企業のデータ流出の90%以上は、何らかの形でメール・フィッシングが関与していると言われています。そして、メールのドメイン偽装は、その代表的な原因の一つです。

電子メールの安全性を確保するために、SPF(Sender Policy Framework)DKIM(Domain Keys Identified Mail)などのプロトコルが開発されました。SPFは送信者のIPアドレスと承認されたIPアドレスのリストを照合し、DKIMは暗号化されたデジタル署名を使用して電子メールを保護します。これらは個々には有効ですが、それぞれに欠点があります。2012年に開発されたDMARCは、SPFとDKIMの両方の認証を用いて電子メールを保護するプロトコルで、電子メールがDMARCの検証に失敗すると、ドメイン所有者にレポートが送られる仕組みになっています。

つまり、認証されていない第三者からメールが送られてくると、ドメイン所有者に通知されるのです。そして重要なのは、ドメイン所有者は、認証されていないメールをどのように処理するかをメール受信者に伝えることができるということです。つまり、受信箱に入れる、隔離する、あるいは完全に拒否する、ということです。理論的には、悪質なメールが人々の受信箱に溢れるのを防ぎ、私たちが直面しているフィッシング攻撃の数を減らすことができるはずです。では、なぜそうならないのでしょうか。

DMARCはドメイン・スプーフィングやCovid-19電子メール詐欺を防止できるか?

メール認証では、送信者ドメインがSPF、DKIM、DMARCレコードをDNSに公開する必要があります。ある調査によると、2018年に有効なSPFレコードを公開していたのは、Alexaの上位100万ドメインのうち44.9%に過ぎず、有効なDMARCレコードを公開していたのは5.1%に過ぎませんでした。しかも、DMARC認証のないドメインは、セキュリティが確保されているドメインの4倍近くもなりすましに悩まされているにもかかわらず、です。ビジネスの現場では、本格的なDMARCの導入が行われておらず、それは数年前からあまり改善されていません。ユニセフのような組織でさえ、自社のドメインにDMARCを実装しておらず、ホワイトハウスと米国国防総省はともにDMARCポリシーをp=noneとしており、これは施行されていないことを意味します。

バージニア工科大学の専門家が行った調査により、大手企業やDMARC認証をまだ使用していない企業が挙げた最も深刻な懸念事項が明らかになりました。

  1. 展開の難しさ。セキュリティプロトコルを厳格に実施するには、大規模な組織では高度な調整が必要になることが多いが、そのためのリソースがない場合も多い。さらに、多くの組織ではDNSをあまり管理していないため、DMARCレコードの発行はさらに困難になります。
  2. コストを上回らないメリット。DMARC認証は通常、ドメイン所有者ではなく、電子メールの受信者に直接利益をもたらします。新しいプロトコルを採用する真剣な動機付けがないため、多くの企業がDMARCをシステムに組み込むことができないでいる。
  3. 既存のシステムを破壊するリスク。DMARCは比較的新しいため、不適切な実装が起こりやすく、正当なメールが届かないという非常に現実的なリスクがあります。電子メールの流通に依存している企業は、そのような事態を避けることができないため、DMARCの採用を見送っている。

DMARCが必要な理由の認識

今回の調査で企業が表明した懸念は明らかに妥当なものですが、DMARCの実装がメールセキュリティにとって不可欠であることに変わりはありません。企業がDMARCで認証されたドメインを持たずに活動を続ければ続けるほど、私たちは電子メールによるフィッシング攻撃という非常に現実的な危険にさらされることになります。コロナウイルスを利用したなりすましメールが教えてくれたように、誰もが標的にされたり、なりすまされたりすることから安全ではありません。DMARCはワクチンのようなものだと考えてください。DMARCを使用する人が増えれば増えるほど、感染の可能性は劇的に減少します。

この問題には、DMARCの採用に対する人々の懸念を払拭するような、現実的で実行可能な解決策がある。ここでは、導入率を大幅に向上させることができるいくつかの例を紹介する。

  1. 導入時の摩擦を減らす。企業がDMARCを採用する際に立ちはだかる最大のハードルは、DMARCに関連する導入コストである。経済は低迷しており、資源は不足しています。このため、PowerDMARCと産業界のパートナーであるグローバル・サイバー・アライアンス(GCA)は、Covid-19パンデミックの期間中、期間限定のオファーを発表することにしました。今すぐPowerDMARCを使ってDMARCソリューションを設定し、メールの監視を始めましょう。
  2. 知覚された有用性の向上。DMARC が電子メールのセキュリティに大きな影響を与えるためには、SPF、DKIM、DMARC のレコー ドを公開するユーザーの数が非常に多くなる必要がある。DMARC で認証されたドメインに「Trusted」または「Verified」のアイコンを与えることで(ウェブサイトの HTTPS 化を促進するように)、ドメインの所有者は自分のドメインに対する好意的な評価を得ようとするインセンティブを得ることができる。この評価が一定の閾値に達すると、DMARC で保護されたドメインは、そうでないドメインよりも好意的に見られるようになる。
  3. 導入の合理化。なりすまし防止プロトコルの導入と設定を容易にすることで、より多くのドメインがDMARC認証に同意するようになるだろう。これを実現する1つの方法は、プロトコルを「監視モード」で実行できるようにすることです。これにより、メール管理者は、本格的な導入を行う前に、システムに与える影響を評価することができます。

新しい発明には、新しい課題がつきものです。新しい課題があると、それを克服するための新しい方法を見つけなければならない。DMARCが登場してから数年が経つが、フィッシングはもっと前から存在している。最近の数週間では、Covid-19の大流行により、新たな顔を持つことになった。PowerDMARCでは、この新しい課題に正面から取り組むためのお手伝いをします。あなたがコロナウイルスから安全に家にいる間に、あなたのドメインがメールスプーフィングから安全になるように。

/by