Philabundanceに対するアカウント乗っ取り攻撃
Philabundanceに対するアカウント乗っ取り攻撃
要約
2023年イギリスのサイバー侵害調査によると、2022年には慈善団体の24%が過去12か月以内に侵害または攻撃されました。Philabundanceへのアカウント乗っ取り攻撃は、標準によれば[7.2.3 ATO(Account Take-Over)]および[7.4.2 Unauthorized email server access]に該当すると見られます。非営利団体を狙う様々なサイバー攻撃に効果的に対応するためには、攻撃タイプを把握し、セキュリティ要件に基づく先制的対策を守ることが重要です。これは国際電気通信連合(ITU)の国際メールセキュリティ基準で具体的に説明されています。以下の文は、国際基準に基づいて、実際の非営利団体のハッキング事例や攻撃タイプ、対応ソリューションについて分析します。
1. 概要
非営利団体に対するサイバー攻撃は大きな影響を及ぼし、増加しています。非営利団体は、セキュリティ予算の限定、旧式の技術インフラ、理念的な反対、闇市場での価値がある機密データの保有などの理由で、サイバー犯罪者にとって魅力的なターゲットとなっています。2023年イギリス政府のサイバー侵害調査によると、2022年には慈善団体の24%が過去12か月以内に侵害または攻撃を受けました。サイバー攻撃は非営利団体に財政的リスクをもたらすだけでなく、活動運営能力にも深刻な影響を与えます。たとえば、2021年にイギリスのある非営利団体はランサムウェア攻撃後、21日間運営が中断されました。また、身分盗用やそれによる評判の損失、寄付者や利害関係者に対する機密データの漏洩、政治的動機に基づくメッセージや悪意ある情報の拡散、ウェブサイトの乗っ取りなど、多方面での脅威しています。
これらの攻撃は、馴染みのある関連企業が送ったかのように専門的に設計されたり、知らない人が送ったものだが個人情報を要求したりリンクをクリックさせるよう誘導するスプーフィングメールなどを含みます。銀行取引や契約書など重要な内容が含まれた添付ファイルを開くとセキュリティプロトコルが損なわれ、ハッカーに情報を提供してしまう危険なコンテンツがコンピュータやモバイルデバイスに挿入されます。これは予防が最も重要ですが、一般的には識別が難しく、攻撃により容易に陥ります。
2. 実際の攻撃事例分析 - 攻撃タイプ
詐欺メールを見抜くためには、ハッカーがどのような攻撃タイプと意図を持って被害者を攻撃するのか、これに対する先制的なセキュリティ要件が何かを知ることが重要です。これは国際電気通信連合(ITU)の国際メールセキュリティ基準で具体的に説明されています。メールセキュリティの国際基準書は、UN専門機関であるITUに登録されており、国際的に信頼できる内容です。この国際基準に基づいて、実際の非営利団体のサイバー攻撃事例を分析し、攻撃タイプを識別し、先制的な対応が可能なソリューションを共有させていただきます。
事例) 2020年、Philabundanceに対するアカウント乗っ取り攻撃 - Social engineering email attacks (Account take-over (ATO))
2020年にフィラデルフィア、ペンシルベニア州に拠点を置く飢餓救済団体Philabundanceは、サイバー攻撃者によって92万3千ドル以上を詐欺されました。この事件は、サイバー攻撃者が組織のメールサーバーに侵入し、フィラデルフィアで共に仕事をしていた建設会社を偽装したことに関連しています。彼らはメールを通じて偽の請求書を送り、組織は犯罪者が管理する銀行口座に約923,000ドルを送金しました。犯罪者たちは組織のコンピュータシステムをハッキングして建設会社の合法的なメールを横取りし、自分たちの詐欺メールに置き換えました。
メールセキュリティ基準では、このようなハッキングタイプが[7.Threats for targeted email attacksの7.2 Social engineering email attacks (社会工学的攻撃)]と定義されています。'社会工学的攻撃'は、システムの脆弱性を狙う攻撃ではなく、ユーザーを騙してお金を振り込ませたり、機密情報を盗もうとする心理的な攻撃です。この事件は、合法的な取引を詐欺アカウントに切り替えるために組織のメールシステムに不正アクセスし、操作することを含むため、被害者であるPhilabundanceの立場から見るとATO(Account Take-Over)攻撃タイプに該当します。発信者基準では、メールサーバー攻撃が成功し、自分たちのメールアカウントが乗っ取られたため、[7.4 Outbound email threats by attackers]の[7.4.2 Unauthorized email server access]に関連があると言えます。(これについては次回詳しく記事を書きます。)
基準によれば[7.2.3 ATO(Account Take-Over)]は以下のように定義されます。
ATOは、実際のユーザーのアカウントを使用する社会工学的攻撃です。ユーザーのメール履歴を閲覧するために盗んだメールアカウントにログインした後、攻撃者は機密情報と潜在的な二次被害者を探します。例えば、攻撃者がフィッシングサイトで盗んだアカウント情報で送金アカウントの変更を要求するメールを送ったり、アカウントに保存された機密情報を外部の第三者に伝達することがあります。
3. 攻撃事例分析 - ソリューション
私たちは皆忙しく、状況が表面上大きな問題が見えない場合、詳しく観察しない傾向があります。そして忙しい従業員にメールが合法的かどうかを確認するために詳細なフォレンジック分析を行うよう要求することは非常に面倒なことです。では、組織はこのような種類の詐欺からどのように自らを守ることができるでしょうか?このようなフィッシングメールに効果的に対応するためには、事前に発信者情報を分析し、ユーザーに警告し、先制的に攻撃に対応できるようにする必要があります。国際基準8番、9番条項に従った[Security requirements for countering targeted email attacks (ターゲットメール攻撃に対抗するためのセキュリティ要件)]と[Countermeasures for targeted email attacks (ターゲットメール攻撃に対する対策)]マニュアルを遵守することで、効果的な解決及び先制的対応が可能です。
ATO(Counter Account Take-over)攻撃に対応するためには、基準の[8.2.3 Security requirements for countering account take-over (ATO) attacks]に従ったセキュリティ要件を守らないといけません。。
- メールの発信者位置が以前に受け取ったメールと異なる場合、ユーザーに警告するかメールをブロックします。
- メールサーバーのIPアドレスが以前に受け取ったメールと異なる場合、ユーザーに警告するかメールをブロックします。
- メールの送信ルートが以前に受け取ったメールと異なる場合、ユーザーに警告するかメールをブロックすることが望ましいです。
これらのセキュリティ要件を反映し、[9.2.3 Countermeasures for account take-over (ATO) attacks]ソリューションの導入を通じて、ATO(Counter Account Take-over)攻撃に対する先制的な対応が可能です。
- 同一の発信者に対するメールデータを学習した後、リアルタイムで受信されたメールを分析し、学習データ及び検証を行う必要があります。
■ a. 学習データ有効性検証:構成されたヘッダー構造とソーシャルグラフを学習し、メールを送る際、過去の学習記録と現在のデータを比較分析します。
- 送信者位置変更検出は、インバウンドメールのヘッダー情報を分析し、送信者位置IPヒストリーを蓄積し、新たに受信されたメールを蓄積されたヒストリーの送信者位置IP国と比較します。メールヘッダーには、メールが最初に作成されたIP、転送時点までのサーバーのIP、メールが最終的に送信されたサーバーのIP情報が含まれています。
4. 結論
デジタル時代にあなたのデータは、物理的な資産と同じくらいの価値があります。ハッキング技術はますます巧妙になり、高度化するため、ハッキング被害を防ぐためには認識と警戒が鍵となります。サイバー犯罪者にとって魅力的なターゲットである非営利団体は、財政的損失を防ぎ、機密データを安全に保護するために、効率的なセキュリティポリシーとメール国際セキュリティ基準の教育を組み合わせる方法でハッキング攻撃に備えるべきです。メールセキュリティ基準は、多くのメール攻撃タイプに対するセキュリティ要件とソリューションを提供します。基準について認識し、これを基にメールセキュリティを継続的に診断することが、高度化するハッキング技術に対する先制的対応方法です。メールセキュリティ国際基準の遵守状況は、メールインスペクターを通じてメールセキュリティ基準遵守状況の診断から始めることができます。
参照
<Security requirements and countermeasures for targeted email attacks>
https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en
<Email-based Attacks Against Nonprofits Are On The Rise. Is Your Organization Vulnerable?>
<Ransomware Attacks on Nonprofits: Rarity or Regularly Hidden?>
<Nonprofit Cyber Attack Case Studies and Solutions>
https://blog.techimpact.org/nonprofit-cyber-attack-case-studies-and-solutions
<How Nonprofit Cyber Attacks Really Happen>
https://blog.techimpact.org/how-nonprofit-cyber-attacks-really-happen
<Nonprofits and Cyberattacks: Key Stats That Boards Need to Know>
https://www.boardeffect.com/en-gb/blog/nonprofits-cyberattacks-key-stats/
<BASIC CYBERSECURITY HYGIENE MEASURES COULD HAVE PREVENTED RANSOMWARE ATTACK, SAYS EDINBURGH FRINGE FESTIVAL BOSS>
<Philabundance falls victim to cyberattack, loses almost $1 million>
https://www.phillyvoice.com/philabundance-cyberattack-theft-1-million-dollars/
<Non-Profit Out $923,000 After Business Email Compromise Scam>
https://www.happierit.com/knowledge-center/breaches/philabundance-bec-scam