mailinspector’s blog

安全なメールへのご案内

Philabundanceに対するアカウント乗っ取り攻撃

Philabundanceに対するアカウント乗っ取り攻撃

 

 

要約

2023年イギリスのサイバー侵害調査によると、2022年には慈善団体の24%が過去12か月以内に侵害または攻撃されましたPhilabundanceへのアカウント乗っ取り攻撃は、標準によれば[7.2.3 ATOAccount Take-Over]および[7.4.2 Unauthorized email server access]に該当すると見られます。非営利団体を狙う様々なサイバー攻撃に効果的に対応するためには、攻撃タイプを把握し、セキュリティ要件に基づく先制的対策を守ることが重要です。これ国際電気通信連合(ITU)の国際メールセキュリティ基準で具体的に説明されています。以下の文は、国際基準に基づいて、実際の非営利団体のハッキング事例や攻撃タイプ、対応ソリューションについて分析します。

 

1. 

 

体にするサイバは大きな影響を及ぼし、加しています。体は、セキュリティ予算の限定、式の技術インフラ、理念的な反闇市場での値がある機密デタの保有などの理由で、サイバ犯罪者にとって魅力的なタゲットとなっています。2023年イギリス政府のサイバ侵害調査によると、2022年には慈善体の24%が過去12か月以に侵害または攻を受けました。サイバは非体に財政的リスクをもたらすだけでなく、活動運能力にも深刻な影響をえます。たとえば、2021年にイギリスのある非体はランサムウェア後、21日間運が中されました。また、身分用やそれによる評判の損失、寄付者や利害係者にする機密デタの漏洩、政治的動機に基づくメッセジや意ある情報の散、ウェブサイトのっ取りなど、多方面での脅威しています。

 

これらの攻は、馴染みのある連企業が送ったかのように門的に設計されたり、知らない人が送ったものだが個人情報を要求したりリンクをクリックさせるよう誘導するスプフィングメなどを含みます。銀行取引や契約書など重要な容が含まれた添付ファイルを開くとセキュリテプロトコルが損なわれ、ハッカに情報を提供してしまうなコンテンツがコンピュタやモバイルデバイス入されます。これは予防が最も重要ですが、一般的には識別が難しく、攻により容易にります

 

2. 実際の攻撃事例分析 - 撃タイ

 

 

詐欺メルを見くためには、ハッカがどのような攻タイプと意を持って被害者を攻するのか、これにする先制的なセキュリティ要件が何かを知ることが重要です。これは際電通信連合(ITU)の際メルセキュリティ基準で具体的に明されています。メルセキュリティの際基準書は、UN門機であるITUに登されており、際的に信できる容です。この際基準に基づいて、際の非体のサイバ事例を分析し、攻タイプを識別し、先制的な対応が可能なソリュションを共有させていただきます。

 

事例) 2020年、Philabundanceにするアカウントっ取り攻 - Social engineering email attacks (Account take-over (ATO))

2020年にフィラデルフィアペンシルベニア州点を置く飢餓救済団Philabundanceは、サイバ者によって92万3千ドル以上を詐欺されました。この事件は、サイバ者が組織のメルサに侵入し、フィラデルフィア共に仕事をしていた建設社を装したことに連しています。彼らはメルを通じての請求書を送り、組織は犯罪者が管理する銀行口座に約923,000ドルを送金しました。犯罪者たちは組織のコンピュタシステムをハッキングして建設社の合法的なメルを横取りし、自分たちの詐欺メルに置き換えました。

 

ルセキュリティ基準では、このようなハッキングタイプが[7.Threats for targeted email attacksの7.2 Social engineering email attacks (社的攻)]と定義されています。'社的攻'は、システムの脆弱性を狙う攻ではなく、ユを騙してお金を振りませたり、機密情報をもうとする心理的な攻です。この事件は、合法的な取引を詐欺アカウントに切り替えるために組織のメルシステムに不正アクセスし、操作することを含むため、被害者であるPhilabundanceの立場から見るとATO(Account Take-Over)攻タイプに該します。信者基準では、メルサが成功し、自分たちのメルアカウントがっ取られたため、[7.4 Outbound email threats by attackers]の[7.4.2 Unauthorized email server access]に連があると言えます(これについては次回詳しく記事を書きます。)

 

基準によれば[7.2.3 ATO(Account Take-Over)]は以下のように定義されます。

ATOは、際のユのアカウントを使用する社的攻です。のメル履閲覧するためにんだメルアカウントにログインした後、攻者は機密情報と潜在的二次被害者を探します。例えば、攻者がフィッシングサイトでんだアカウント情報で送金アカウントの更を要求するメルを送ったり、アカウントに保存された機密情報を外部の第三者達することがあります

 

3. 撃事例分析 - ソリューショ

 

 

私たちは皆忙しく、況が表面上大きな問題が見えない場合、詳しく察しない傾向があります。そして忙しい業員にメルが合法的かどうかを確認するために詳細なフォレンジック分析を行うよう要求することは非常に面倒なことです。では、組織はこのような種類の詐欺からどのように自らを守ることができるでしょうか?このようなフィッシングメルに果的に対応するためには、事前に信者情報を分析し、ユに警告し、先制的に攻対応できるようにする必要があります。際基準8番、9番項にった[Security requirements for countering targeted email attacks (タゲットメル攻抗するためのセキュリティ要件)]と[Countermeasures for targeted email attacks (タゲットメル攻する)]マニュアルを遵守することで、果的な解決及び先制的対応が可能です。

 

ATO(Counter Account Take-over)攻対応するためには、基準の[8.2.3 Security requirements for countering account take-over (ATO) attacks]にったセキュリティ要件を守らないといけません。

  1. ルの信者位置が以前に受け取ったメルと異なる場合、ユに警告するかメルをブロックします
  2. ルサIPアドレスが以前に受け取ったメルと異なる場合、ユに警告するかメルをブロックします
  3. ルの送信ルトが以前に受け取ったメルと異なる場合、ユに警告するかメルをブロックすることが望ましいです。

 

これらのセキュリティ要件を反映し、[9.2.3 Countermeasures for account take-over (ATO) attacks]ソリュションの導入を通じて、ATO(Counter Account Take-over)攻する先制的な対応が可能です。

 

  • 同一の信者にするメルデタを習した後、リアルタイムで受信されたメルを分析し、習デタ及び証を行う必要があります。

 ■ a. 習デタ有証:構成されたヘッダ構造とソシャルグラフを習し、メルを送る際、過去の習記と現在のデタを比較分析します。

 

  • 送信者位置出は、インバウンドメルのヘッダ情報を分析し、送信者位置IPヒストリを蓄積し、新たに受信されたメルを蓄積されたヒストリの送信者位置IPと比較します。ルヘッダには、メルが最初に作成されたIP、送時点までのサIP、メルが最終的に送信されたサIP情報が含まれています。

 

4. 結論

 

 

デジタル時代にあなたのデタは、物理的な資産と同じくらいの値があります。ハッキング技術はますます巧妙になり、高度化するため、ハッキング被害を防ぐためには認識と警戒が鍵となります。サイバ犯罪者にとって魅力的なタゲットである非体は、財政的損失を防ぎ、機密デタを安全に保護するために、率的なセキュリティポリシとメ際セキュリティ基準の育を組み合わせる方法でハッキング攻に備えるべきです。メルセキュリティ基準は、多くのメル攻タイプにするセキュリティ要件とソリュションを提供します。基準について認識し、これを基にメルセキュリティを継続的に診することが、高度化するハッキング技術にする先制的対応方法です。ルセキュリティ際基準の遵守況は、メルインスペクタを通じてメルセキュリティ基準遵守況の診から始めることができます。

 

参照

<Security requirements and countermeasures for targeted email attacks>

https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en

<Email-based Attacks Against Nonprofits Are On The Rise. Is Your Organization Vulnerable?> 

https://blog.techimpact.org/email-based-attacks-against-nonprofits-are-on-the-rise.-is-your-organization-vulnerable

<Ransomware Attacks on Nonprofits: Rarity or Regularly Hidden?>

https://www.asisonline.org/security-management-magazine/articles/2023/07/nonprofit-security/ransomware-attacks-on-nonprofits

<Nonprofit Cyber Attack Case Studies and Solutions>

https://blog.techimpact.org/nonprofit-cyber-attack-case-studies-and-solutions

<How Nonprofit Cyber Attacks Really Happen>

https://blog.techimpact.org/how-nonprofit-cyber-attacks-really-happen

<Nonprofits and Cyberattacks: Key Stats That Boards Need to Know>

https://www.boardeffect.com/en-gb/blog/nonprofits-cyberattacks-key-stats/

<BASIC CYBERSECURITY HYGIENE MEASURES COULD HAVE PREVENTED RANSOMWARE ATTACK, SAYS EDINBURGH FRINGE FESTIVAL BOSS>

https://eventsbase.co.uk/basic-cybersecurity-hygiene-measures-could-have-prevented-ransomware-attack-says-edinburgh-fringe-festival-boss/

<Philabundance falls victim to cyberattack, loses almost $1 million>

https://www.phillyvoice.com/philabundance-cyberattack-theft-1-million-dollars/

<Non-Profit Out $923,000 After Business Email Compromise Scam>

https://www.happierit.com/knowledge-center/breaches/philabundance-bec-scam