非営利団体の脆弱性を狙ったアウトバウンドメール攻撃
サマリー
非営利団体は様々な理由でサイバー犯罪者にとって魅力的な標的となっており、2023年の英国のサイバー侵害調査によると、2022年にはチャリティの24%が過去12ヶ月間に侵害または攻撃を受けました。今回は以前の記事で簡単に言及した[7.4 アウトバウンド・イーメールの脅威 (攻撃者によるアウトバウンド・イーメール攻撃)]について詳しく調べてみました。該当の事例は標準によると[7.4.1 アカウント乗っ取りの使用]、[7.4.2 不正なイーメールサーバーへのアクセス]と関連があります。非営利団体を狙う様々なサイバー攻撃に効果的に対応するためには、攻撃タイプを把握し、セキュリティ要件に基づく予防的対策を守ることが重要です。これは国際電気通信連合(ITU)の国際イーメールセキュリティ基準に具体的に説明されています。
1. 概要
非営利組織の運営は伝統的に高貴な目的に関連しており、より平等で公正な世界を作るために絶え間なく努力しています。しかし、今日では利他的な使命によって動く非営利組織でさえ、サイバー脅威のリスクから自由ではありません。非営利組織はサイバーセキュリティ領域で共通の脆弱性を共有しています。限られた予算、潜在的なサイバーセキュリティ認識の欠如、そしてデジタルプラットフォームへの依存の増加により、非営利団体は常にサイバー攻撃にさらされています。少ない予算で運営される非営利組織は、様々な要因によりサイバーのリスクにさらされます。限られた資源で運営されるこの組織は、目標に割り当てる費用を考慮しなければならないため、サイバーセキュリティインフラに予算を割り当てる余地がほとんどありません。この脆弱性をさらに悪化させるのは、非営利団体が機密データを保有している場合が多いという事実です。寄付者記録、受益者情報および金融データは組織に重要な資産の一つです。このような脆弱性により、非営利団体は重要なデータにアクセスし、運営を妨害しようとするサイバー犯罪者にとって魅力的な標的になりました。これらの攻撃は、しばしば金銭的な動機、データ盗難、または運営の中断を目的としています。
非営利団体へのサイバー攻撃は大きな影響を及ぼし、増加しています。2023年の英国政府のサイバー侵害調査によると、2022年にはチャリティ団体の24%が過去12ヶ月間に侵害または攻撃を受けました。サイバー攻撃は非営利団体に財政的リスクをもたらすだけでなく、活動運営能力にも深刻な影響を与えます。ハッキングから組織を保護するためには、セキュリティシステムだけでなく、ハッキングに対する認識を専門化し、関連するセキュリティ要件を把握し、これを遵守しているのか定期的に確認することが重要です。当該記事は非営利サイバーセキュリティに関する包括的な探求の観点から、組織が直面する多面的な問題と、それらを直接標的にしたイーメールベースのサイバー攻撃の実際の事例を調査し、デジタル防御を強化するための予防的解決策を提案します。
2. 実際の攻撃事例分析 - 攻撃タイプ
詐欺イーメールを見破るためには、ハッカーがどんな攻撃タイプと意図を持って被害者を攻撃するのか、これに対する予防的セキュリティ要件を知ることが重要です。これは国際電気通信連合(ITU)の国際イーメールセキュリティ基準に具体的に説明されています。イーメールセキュリティ国際基準書はUN専門機関とつながっている国際電気通信連合(ITU)に登録されており、国際的に信頼できる内容です。これらの国際基準に基づき、実際の非営利団体のサイバー攻撃事例を分析し、攻撃タイプの識別と予防的対応が可能なソリューションについてお話します。
事例) ある非営利団体に対するアウトバウンドメール攻撃 - Outbound email threats by attackers (Using account take-over, Unauthorized email server access)
ある非営利団体のOffice365テナントが、活動する攻撃者によってグローバル管理者の資格情報を使用して侵害されました。(参照原文ではセキュリティ上の理由から非営利団体の具体的な名称は明らかにされていません。)犯罪者が組織に最初に侵入したポイントは、グローバル管理者権限で運営される組織コントローラーのアカウントを通じてでした。攻撃者はアクセス権を得た後、損傷したアカウントを通じて他の多くの組織リーダーのメールボックスに対するフルアクセス権を与えました。次に、攻撃者は財務ディレクターと組織のコントローラーの両方に対して電信送金を開始するよう要求し、財務ディレクターのアカウントに対するアクセス権を使用してこれに即座に応答し、取引を承認しました。また、攻撃者は損傷したアカウントを通じて執行ディレクター所有の他の2つのメールボックスに対するフルアクセス権を与えました。
メールセキュリティ基準には、このようなハッキングタイプが[7.ターゲットメール攻撃の脅威の7.4 アウトバウンドイーメール脅威 (攻撃者によるアウトバウンドメール攻撃)]として定義されています。これは主に乗っ取られたアカウントを通じた攻撃者の発信メールによって発生します。開始は組織コントローラーのアカウントの乗っ取りで、攻撃者は盗まれたアカウントを通じてユーザーのインバウンド及びアウトバウンドメールにある他の人の個人情報を利用する後続メールを送りました。これはUsing account take-overタイプに該当すると考えられます。また、攻撃者は盗まれたアカウントの資格情報を使用してユーザーの会社メールアカウントに対する不正アクセスを得たことから、Unauthorized email server accessにも該当します。
基準によると[7.4.1 アカウント乗っ取りの使用]、[7.4.2 不正なイーメールサーバーへのアクセス]は以下のように定義されます。
- 7.4.1 アカウント乗っ取りの使用
アウトバウンドメールの攻撃方法は通常、ユーザーのアカウントが盗まれた後に始まります。攻撃者は盗まれたアカウントを通じてユーザーのインバウンド及びアウトバウンドメールにある他の人の個人情報を利用して後続メールを無作為に送ります。攻撃を受けたユーザーと関連するアカウントは潜在的に2次被害者になり、後にフィッシング攻撃に再利用されます。
- 7.4.2 不正なイーメールサーバーへのアクセス
不正メールサーバーアクセスは、攻撃者がメールサーバーを掌握し制御権を得るアウトバウンドメール攻撃方法です。攻撃者は盗まれたアカウントの資格証明を使用してユーザーの会社メールアカウントに対する不正アクセスを得ることができます。例えば、メールサーバーが損傷した場合、攻撃者はユーザーのパスワードを検索することができ、これを通じて組織のネットワーク内にある他のホストに対するアクセス権を付与することができます。
3. 実際の攻撃事例分析 - 解決策
これらのフィッシングメールに効果的に対応するためには、事前に発信者情報を分析し、ユーザーに警告し、予防的に攻撃に対応する必要があります。国際標準の第8条、第9条に基づく[Security requirements for countering targeted email attacks (ターゲットメール攻撃に対応するためのセキュリティ要件)]と[Countermeasures for targeted email attacks (ターゲットメール攻撃に対する対策)]マニュアルを遵守することで、効果的な解決と予防的対応が可能です。ターゲットメール攻撃に対応するためのセキュリティ要件などの国際標準の遵守は、効果的な解決策を提供する包括的なロードマップの役割を果たすことができます。
まず、アウトバウンド攻撃タイプの中で、アカウント乗っ取りに対応するためには、標準の[8.4.1 Security requirements for countering attacks using account take-over]のセキュリティ要件を遵守する必要があります。
1.セキュリティ管理者とユーザーがメールのアカウントにアクセスできる特定のIPおよび国を設定できるように提供します。
2.メール送信時に、インバウンドメールのセキュリティ要件が条項8.1に実装されたのと同じ方法でマルウェア検出を実装することが良いです。(*別途アウトバウンド標準定義記事参照)
これらのセキュリティ要件を反映し、[9.4.1 Countermeasures for attacks using account take-over]ソリューションの導入を通じて、アカウント乗っ取り攻撃に対する予防的対応が可能です。
- IP権限設定を通じて、セキュリティ管理者とメールユーザーは許可されたIPアドレスと国からメールを受信し、メール攻撃をブロックするために「セキュリティIP登録」または「許可国登録」でアクセス可能な特定のIPアドレスと国を登録できます。
アウトバウンド攻撃タイプの中で、無許可メールサーバーアクセス攻撃に対応するためには、[8.4.2 Security requirements for countering unauthorized email server access attacks]のセキュリティ要件を遵守する必要があります。
1.登録されていないSMTPおよびWebメールサービスに対する国のアクセスをブロックする必要があります。
2.権限がないメールサーバー攻撃を判断するためには、アクセスの詳細情報を把握し、.権限がないメールサーバー攻撃によるメールサーバーアクセスリクエスト情報をメールサーバーに送信しないようにする。
3.送信者のSMTP情報が受信者のSMTP情報と一致しない場合は、メール配信をブロックする必要があります。
これらのセキュリティ要件を反映し、[9.4.2 Countermeasures for unauthorized email server access]ソリューションの導入を通じて、
権限がないメールサーバーアクセス攻撃に対する予防的対応が可能です。
- メールサーバー/IPアクセス制御を通じて、セキュリティ管理者はWebメールやメールクライアントへのアクセスを制限し、送信されるセキュリティメールリンクを制御することができます。登録されたIPを通じてWebメールをブロックすることができ、クライアントサーバープロトコル(POP3)/SMTP(Simple Mail Transfer Protocol)に基づく通信アクセスを制御し、メールクライアント通信をブロックします。登録されたIPアドレスと国からメールを送信することができ、IPアドレス、日付などのメールサーバーアクセス制限ログを提供します。
- メールサーバーアクセスログを通じて、ユーザーのアクセス権限が承認されているかどうかを確認できます。
4. 結論
デジタル時代に貴下のデータは物理的資産と同じくらい価値があります。ハッキング技術はますます巧妙になり、高度化しているため、ハッキング被害を防ぐためには、認識と警戒が重要です。セキュリティ要件およびソリューションは、このような予防的姿勢の中核的な構成要素です。サイバー犯罪者にとって魅力的なターゲットである非営利団体は、財政的損失を防ぎ、機密データを安全に保護するために、効率的なセキュリティポリシーとメール国際セキュリティ標準教育を組み合わせる方法でハッキング攻撃に警戒する必要があります。メール国際セキュリティ標準(Security requirements and countermeasures for targeted email attacks)は、多くのメール攻撃タイプに対するセキュリティ要件とソリューションを提供します。標準を認識し、これに基づいて継続的にメールセキュリティを診断することが、高度化するハッキング技術に対する予防的対応方法です。メールセキュリティ国際標準の遵守は、メールインスペクターを通じたメールセキュリティ標準遵守診断から始めることができます。
レファレンス
<Security requirements and countermeasures for targeted email attacks>
https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en
<Email-based Attacks Against Nonprofits Are On The Rise. Is Your Organization Vulnerable?>
<Ransomware Attacks on Nonprofits: Rarity or Regularly Hidden?>
<Nonprofit Cyber Attack Case Studies and Solutions>
https://blog.techimpact.org/nonprofit-cyber-attack-case-studies-and-solutions
<How Nonprofit Cyber Attacks Really Happen>
https://blog.techimpact.org/how-nonprofit-cyber-attacks-really-happen
<Nonprofits and Cyberattacks: Key Stats That Boards Need to Know>
https://www.boardeffect.com/en-gb/blog/nonprofits-cyberattacks-key-stats/
<BASIC CYBERSECURITY HYGIENE MEASURES COULD HAVE PREVENTED RANSOMWARE ATTACK, SAYS EDINBURGH FRINGE FESTIVAL BOSS>
<Philabundance falls victim to cyberattack, loses almost $1 million>
http://ttps://www.phillyvoice.com/philabundance-cyberattack-theft-1-million-dollars/
<Non-Profit Out $923,000 After Business Email Compromise Scam>
https://www.happierit.com/knowledge-center/breaches/philabundance-bec-scam