Cyber Signals：手口の変化によりビジネスメールの侵害が急増

※米マイクロソフトからブログ更新のお知らせがニュースリリースで来ました！

+++++
Cyber Signals：手口の変化によりビジネスメールの侵害が急増
+++++

※本ブログは、米国時間 5 月 19 日に公開された
"Cyber Signals: Shifting tactics fuel surge in business email compromise"の抄訳を基に掲載しています。
https://www.microsoft.com/en-us/security/blog/2023/05/19/cyber-signals-shifting-tactics-fuel-surge-in-business-email-compromise/

著者：バス ジャッカル（Vasu Jakkal）
セキュリティ、コンプライアンス、アイデンティティ、マネジメント担当コーポレートバイスプレジデント

マイクロソフトは本日、ビジネスメールの侵害 (BEC：Business Email Compromise) にまつわるサイバー犯罪の急増に焦点を当てたCyber Signals第4版 https://aka.ms/CyberSignalsReport-4 を発表します。
マイクロソフトは2019年から2022年にかけて、ビジネスメールを標的としたサイバー犯罪・アズ・ア・サービス (CaaS) が 38% 増加したことを確認しています (1)。

BEC 攻撃の成功による組織の損害は、年間数億ドルにもおよびます。
2022 年、FBI の資産回復チーム (RAT：Recovery Asset Team) では、
米国内の取引における2838件のBECに関する告発に対し、金融詐欺キルチェーン (FFKC：Financial Fraud Kill Chain) を開始しました。
こうした取引は、5 億 9000 万ドル以上もの損失につながる可能性があるものです (2)。

BEC 攻撃は、ソーシャルエンジニアリングやごまかしの手法に重点を置くことから、サーバー犯罪の中でも際立つ存在です。
Microsoft Threat Intelligence では、2022 年 4 月から 2023 年 4 月にかけて 3500 万件の BEC の試みがあったことを検出して調査しており、その平均は 1 日 15 万 6000 件にものぼります。

■Cyber Signals
マイクロソフトのデジタル犯罪部門では、ビジネスメールを標的としたサイバー犯罪・アズ・ア・サービスが2019年から2022年にかけて38%増加したことを確認しています。
レポートを読む https://query.prod.cms.rt.microsoft.com/cms/api/am/binary/RW14o4H

■一般的なBECの手口
攻撃者による BEC の試みは、電話やテキストメッセージ、メール、ソーシャルメディアなど、さまざまな形で行われます。
一般的な手口として、認証要求メッセージのなりすましや、個人・企業になりすますこともあります。

BEC の運営者は、パッチが適用されていないデバイスの脆弱性を突くのではなく、日々大量にやり取りするメールなどのメッセージを悪用して被害者をおびき寄せ、金融情報を提供させたり、知らぬ間に資金を運び屋用の口座に送金するといったような行動を直接取らせて犯罪者が不正送金できるようにしたりします。

破壊的な恐喝メッセージが特徴の「騒々しい」ランサムウェア攻撃とは異なり、BEC の運営者は巧妙に期限を設けたり緊急性を装ったりすることで、このような緊急要請に動揺する人や慣れている人を駆り立て、静かに信用してもらえるようふるまいます。
BEC の攻撃者は、新種のマルウェアではなく、悪意のあるメッセージの規模や信ぴょう性を高め、受信箱での成功率を向上させるツールに焦点を当てつつその手口を調整しています。

マイクロソフトでは、攻撃者が BulletProfitLink などのプラットフォーム https://www.microsoft.com/en-us/security/blog/2021/09/21/catching-the-big-fish-analyzing-a-large-scale-phishing-as-a-service-operation/ を利用する傾向が高まっていることを確認しています。
BulletProfitLink は、悪意あるメールキャンペーンを産業規模で作成する際によく使われるサービスで、BEC 用のテンプレートやホスティング、自動化サービスなどをエンドツーエンドで販売しています。
この CaaS を利用する攻撃者には、BEC の標的を定めるにあたって役立つ IP アドレスも提供されます。

BulletProftLink の分散型ゲートウェイの設計には、フィッシングサイトや BEC サイトをホストする Internet Computer ブロックチェーンノードが含まれており、この設計によって破壊がより困難な高度分散型ウェブサービスが生まれます。
複雑で常に進化するパブリックブロックチェーンにこうしたサイトのインフラを分散させることで、サイトの特定や削除措置の調整がより煩雑になるのです。

住宅用 IP アドレスを悪用した攻撃もいくつか注目されました。
マイクロソフトは、法執行機関やその他組織では、この傾向が急速に拡大する可能性があること、そして従来のアラームや通知では活動の検出が困難になることを懸念しており、当該機関や組織に考えを共有しています。

脅威実行者は BEC を促進する特別なツールを作成しており、その中にはフィッシングキットや、トップレベルの経営層や買掛責任者といった特定の役職をターゲットとする検証済みメールアドレスなどが含まれています。
ただし、企業が攻撃に先手を打ってリスクを軽減させる方法もあります。

BEC 攻撃は、サイバーリスクには部門横断的な方法で対処する必要があることを示す好例といえるでしょう。
IT 部門はもちろんのこと、コンプライアンスやサイバーリスク担当者が、経営幹部やリーダー、財務担当者、人事マネージャー、そして社会保障番号や納税明細書、連絡先情報、スケジュールといった従業員情報にアクセスできる人たちとともにテーブルに着かなくてはならないのです。

■BEC 対策の提案

・安全なメールソリューションを利用する：
最近のメール用クラウドプラットフォームでは、機械学習などの AI 機能を使って防御力を高めており、高度なフィッシング保護や不審な転送の検出も可能です。
メール用クラウドアプリや生産性向上クラウドアプリでは、ソフトウェアアップデートが継続的に自動で行われるほか、セキュリティポリシーが一元管理されているという利点もあります。

・アイデンティティを保護して横展開を差し止める：
アイデンティティの保護は BEC 対策の重要な柱です。
ゼロトラストや自動化されたアイデンティティガバナンスで、アプリやデータへのアクセスを制御しましょう。

・安全な決済プラットフォームを採用する：
メールによる請求書から、決済認証用に特化して設計されたシステムへの移行を検討しましょう。

・警告の兆候を発見できるよう従業員を訓練する：
継続的に従業員を教育し、ドメインとメールアドレスの不一致などから不正メールやその他悪意のあるメールを特定できるようにし https://www.microsoft.com/ja-jp/security/business/cybersecurity-awareness?rtc=1 、
BEC攻撃によるリスクとコストなどについて把握できるようにしておきましょう。

■詳細について
Cyber Signals第4版 https://aka.ms/CyberSignals-4 をご確認ください。
脅威インテリジェンスに関するインサイトやガイダンスの詳細は、Security Insider https://www.microsoft.com/security/business/security-insider/ をご覧ください。
これまでの Cyber Signals も同サイトに掲載されています。

マイクロソフトのセキュリティソリューションの詳細は、当社のサイトをご覧ください。
セキュリティブログでは、セキュリティ関連の専門情報が入手できます。
また、LinkedIn (Microsoft Security https://www.linkedin.com/showcase/microsoft-security/ ) やTwitter (@MSFTSecurity https://twitter.com/@MSFTSecurity ) でもサイバーセキュリティに関する最新ニュースや情報をお届けしています。

●本ブログの詳細につきましては、日本マイクロソフト広報資料サイトをご覧ください。
https://news.microsoft.com/ja-jp/2023/05/23/230523-cyber-signals-shifting-tactics-fuel-surge-in-business-email-compromise/

注釈
(1) マイクロソフトのCyber Signals https://aka.ms/CyberSignals-4 より
(2) インターネット犯罪告発センターが2022年の統計を発表
(Internet Crime Complaint Center Releases 2022 Statistics https://www.fbi.gov/contact-us/field-offices/springfield/news/internet-crime-complaint-center-releases-2022-statistics )、FBI