mailinspector’s blog

安全なメールへのご案内

グローバル企業も被害を受けるしかないハッカーたちの攻撃

グローバル企業も被害を受けるしかないハッカーたちの攻撃

: 安全なメール管理: アカウント乗っ取りの脅威に備える方法

 

概要

最近、ハッカーの攻撃がますます高度化する中、マイクロソフトは、メールを通じた上級役員のアカウントのハッキングにより、機密情報の漏洩と競争力喪失のリスクに直面しています。 このようなリスクは、警戒しないと、個人と企業の両方に大きな脅威となる可能性があります。国際標準のセキュリティを遵守することでメールセキュリティを強化し、様々なサイバー攻撃からユーザーを保護する方法をご紹介します。

 

はじめに

近年、ハッカーはますます高度な方法で進化しています。フィッシング、ソーシャルエンジニアリング、複雑なマルウェアの使用など、様々な手法を駆使して目標を達成しています。このような状況では、特に大量のデータを保有している大企業は、彼らにとって魅力的なターゲットとなります。

 

ハッカーが主に狙う脆弱性の一つは、アカウント乗っ取りです。アカウント情報を確保すると、企業内部システムにアクセスして機密情報を流出させたり、さらなる攻撃の足掛かりにすることができ、このような攻撃によって企業は莫大な金銭的損失と信頼性の損傷を受けることになります。

 

資産規模が数兆ウォンに達し、全世界に数百の支社を持つグローバル企業であるマイクロソフトでさえ、昨年11月にこのような攻撃で被害を受けました。今日は、このマイクロソフトの実際の被害事例を取り上げたいと思います。

 

攻撃事例の紹介

 

2023年11月、マイクロソフトの役員メールアカウントがロシアのハッキンググループであるミッドナイトブリザード(aka Nobelium,or APT29)によってハッキングされました。 このグループは主にヨーロッパとアメリカの政府組織、NGO、ソフトウェア開発者およびITサービス提供者を対象に活動するサイバースパイ組織として知られています。 マイクロソフトは2024年1月12日、このハッキンググループがシステムを侵害し、彼らのサイバーセキュリティおよび法律チームからメールを盗んだという事実を発見し、これによって重要な機密情報が外部に流出する危険に直面することになりました。

 

機密情報の漏洩は企業に重大な被害を与える可能性があります。重要な機密情報がハッカーの手に入ると、その情報は競合他社またはハッカーグループによって悪用される可能性があります。これは企業の競争力を大幅に弱め、法的問題を引き起こす可能性があり、企業の評判と信頼性にも直接的な打撃を与える可能性があります。

 

Midnight Blizzardは、家庭用プロキシとパスワードスプレーのブルートフォース攻撃を使用して、少数のアカウントを標的にしました。 パスワードスプレー攻撃とは、多くのユーザーアカウントに対して一般的に使用されるパスワードを繰り返し入力する方法です。 彼らは検出を回避するために、限られた数のアカウントにパスワードスプレー攻撃を調整し、マイクロソフトは、テストアカウントでMFA(多要素認証)が有効になっていないため、ハッカーが正しいパスワードを入力すると、システムに直接アクセスできることを確認しました。

 

 

危険性(被害)

アカウント乗っ取り(ATO)攻撃とは?

 

 

7.2.3 アカウント乗っ取り攻撃

アカウント乗っ取り(ATO)は、実際のユーザーのアカウントを使用するソーシャルエンジニアリング攻撃です。攻撃者は、盗まれたメールアカウントでログインし、ユーザーのメール履歴を検索し、機密情報や潜在的な2次被害者を見つけ出します。例えば、フィッシングサイトで盗まれたアカウント情報を利用して送金口座の変更を要求したり、アカウントに保存された機密情報を外部に伝えることができます。

 

アカウント乗っ取り攻撃は主にメールを介して発生し、主な方法としては、7.2.1偽造ヘッダー、7.2.2類似ドメイン、7.2.4URLフィッシングなどが使用されます。7.2.1偽造ヘッダーは、ユーザーが返信を送る際に、メールヘッダーを偽造してメールを迂回して傍受する攻撃です。7.2.2.2類似ドメインは、正規のドメインとほぼ似た形で、ユーザーを騙して攻撃にさらさせる方法です。7.2.4URLフィッシングは、ユーザーがクリックするように誘導して悪性コードをインストールしたり、フィッシングページに誘導します。



詳しい標準は下記をご参照ください

 

7.2.1 偽装ヘッダー  

社会工学攻撃の一種として、詐欺師がヘッダー内のアカウント情報を偽造して検出を回避することがあります。攻撃者は、メールヘッダーの偽造を利用して、ユーザーが返信を送信する際にメールの宛先をすり抜けます。偽装ヘッダー攻撃を通じて、攻撃者は通常のユーザーからのメールを傍受し、企業の認証情報や人事に関する情報を取得することができます。

 

7.2.2 類似ドメイン  

類似ドメイン攻撃は、攻撃者が通常の信頼できる送信者のメールアドレスに非常に似ているメールアドレスから悪意のあるメールを送信するタイプの攻撃です。たとえば、大文字の「I」と小文字の「l」など、見た目が非常に似ている文字の類似性がこの攻撃に悪用されることがあります。

 

7.2.4 統一リソースロケーターフィッシング  

URLフィッシングは、被害者のIDやパスワードを盗む攻撃です。攻撃者は、フィッシングページやウェブサイトを作成し、メールに埋め込まれた悪意のあるURLやファイルを使用して、被害者にアカウント情報を入力させるように誘導します。

 

  • パスワードスプレー攻撃(Password Spray Attack)

パスワードスプレー攻撃はこのアカウント乗っ取り攻撃の方法の一つです。 この攻撃では、多数のアカウントに対してよく使われるパスワードを繰り返し試行し、アカウントを乗っ取ります。

 

  • 攻撃準備: 公共データベースや流出した情報から多数のアカウント情報を収集
  • パスワード試行: 一般的によく使用されるパスワードを各アカウントに繰り返し入力
  • 検知回避: 一度に多くのアカウントを試行せず、限られた数のアカウントを標的にして検知を回避

 

攻撃者は、奪取したアカウントを通じてユーザーのメールリストを活用し、無作為にフォローアップのメールを送信することで、他のアカウントが二次被害を受け、さらなるフィッシング攻撃に晒される可能性があります。また、奪取したアカウントを利用して、メールサーバーに不正アクセスし、ユーザーのパスワードを検索したり、組織のネットワーク内の他のコンピューターやデバイスにアクセスしたりすることで、企業の内部システムが損傷するリスクがあります。

 

これにより、機密性の高いメール、顧客データ、金融情報などの機密情報が流出する可能性が高くなります。さらに、このような攻撃により、データ復旧、システム復元、法的対応などに関連して大きな金銭的損失が発生する可能性があり、顧客やパートナーの信頼を失い、企業の評判が大きく損なわれる可能性があります。 したがって、アカウント乗っ取り攻撃は深刻な後続被害をもたらす可能性があるため、これを防止するためには、国際標準を遵守することが重要です。

 

ソリューション(国際メールセキュリティ標準と関連付ける)または予防戦略

上記の事例と攻撃の種類は、国際標準化に準拠した電子メールセキュリティ標準案を通じて予防することができます。国際標準化機構(ITU-T)で採択されたこの標準案は、公信力のあるメールセキュリティ基準を提供します。まず、電子メールでアカウントが乗っ取られること自体を防止する場合と、乗っ取られた場合、それによって発生する2次攻撃に対して防止する場合があります。前者の場合から見てみましょう。

 

メールによるアカウントの乗っ取りを防止するには、アカウント乗っ取り攻撃に対する対応策として、8.2.1の偽装ヘッダー攻撃を防ぐためのセキュリティ要件、8.2.2の類似ドメイン攻撃を防ぐためのセキュリティ要件、および8.2.4のURLフィッシング攻撃を防ぐためのセキュリティ要件を遵守することで、予防することができます。

 

アカウント乗っ取り攻撃対応

8.2.1 偽装ヘッダー攻撃を防ぐためのセキュリティ要件



  • 受信メールに返信する際、返信するメールアドレスが異なる場合は、ユーザーにブロックまたは警告する必要があります。
  • メール通信プロトコルの遵守を確認することが推奨されます。



受信メールに返信する際、メールアドレスが異なる場合、警告したり、ブロックするセキュリティ要件を守ることで、フィッシングや詐欺メールによる被害を減らすことができ、メール通信プロトコル準拠しているかどうかを確認することで、メールの信頼性とセキュリティを強化することができます。

 

8.2.2 類似ドメイン攻撃を防ぐためのセキュリティ要件

 

  • 送信者のドメインが累積されたメール記録に基づいて類似したドメインと検出された場合、そのリスクレベルをユーザーに通知し、そのようなメールをブロックする必要があります。



  • 類似ドメインのメール攻撃を判断する基準として、メールアドレスの文字数の違いを適用する必要があります。





  • セキュリティ管理者が疑わしい類似メールアドレスを直接登録できるようにすることが望ましいです。

 

類似ドメイン攻撃を防ぐためのセキュリティ要件を遵守することで、フィッシングメールによる機密情報の漏洩や詐欺被害を減らすことができます。また、ドメインの類似度に基づいてリスクレベルを把握し、ユーザーを保護することができ、トップレベルドメインTLD)の違いを管理することで、さらなるセキュリティ強化が図れます。さらに、セキュリティ管理者が疑わしいメールを直接登録できるようにすることで、セキュリティ管理の柔軟性も向上します。

 

8.2.4 URLフィッシング攻撃を防ぐためのセキュリティ要件



  • 個人情報の入力を促すウェブページを含むURLの最終的な目的地を継続的に追跡る必要があります。



などの条項を通じて予防でき、アカウント乗っ取り攻撃による情報漏洩に関する内容は、メールセキュリティの国際標準規格である8.3.1「意図的な情報漏洩を防ぐためのセキュリティ要件」により予防できます。



後者の場合、奪取されたアカウントによって発生する可能性のある二次攻撃(パスワードスプレー攻撃)に対しては、アカウント乗っ取り(ATO)攻撃の概念を正確に認識し、これを8.3「ユーザーによる発信メールの脅威対応のためのセキュリティ要件」8.4「攻撃者による発信メールの脅威対応のためのセキュリティ要件」の遵守を通じて予防することができます。

 

奪取されたアカウントによって発生する可能性のある二次攻撃対応(パスワードスプレー攻撃対応)

 

7.2.3  アカウント乗っ取り(ATO)



  • ATOは、実際のユーザーのアカウントを乗っ取って使用する社会工学的攻撃です。攻撃者は、奪取したメールアカウントにログインした後、ユーザーのメール履歴を閲覧して機密情報や潜在的二次被害者の情報を奪取します。例えば、攻撃者が奪取したアカウントを装い、業務上のメールをやり取りしていた潜在的二次被害者に対して、送金先のアカウント変更を要求することで、金銭的な被害をもたらす可能性があります。

アカウント乗っ取り(ATO)に対応するためには、以下の項目である8.3「ユーザーによる発信メールの脅威対応のためのセキュリティ要件」8.4「攻撃者による発信メールの脅威対応のためのセキュリティ要件」の遵守が重要です。

 

8.3  ユーザーによる発信メールの脅威対応のためのセキュリティ要件



8.3.1 意図的情報漏洩対応のためのセキュリティ要件



  • セキュリティ管理者が直接メール送信条件を設定し、管理できるようにすることが求められます。

 

  • セキュリティ管理者が設定した条件を満たさない場合、メール送信を再検討できる機能を備えることが推奨されます。

 

セキュリティ管理者が直接メール送信条件を設定し、管理できるようにすることは、情報漏洩を防ぐために非常に重要です。これにより、機密データが無断で送信されないように制御でき、事前に設定された条件を満たさない場合、メール送信を再検討できる機能を通じて潜在的なセキュリティ脅威を遮断することができます。このような機能は、組織の機密情報を保護し、法的および財政的な被害を予防する上で重要な役割を果たします。

 

8.3.2  ユーザーによる意図しない情報漏洩に対応するためのセキュリティ要件




  • 悪意のあるメールアドレスに分類されたアドレスに返信したり、メールを送信したりする際には、ユーザーに警告を表示するか、または自動的にブロックする必要があります。

 

  • 添付ファイルの送信容量が制限された隔離された内部ネットワークから外部ネットワークへ大容量の添付ファイルを安全に送信するには、サーバーを迂回せず、メールサーバー内で直接変換および再結合して送信できるようにする必要があります。

 

  • ユーザーの送信ミスによるデータ漏洩を防ぐために、送信者が送信したメールを取り消し、回収できるようにするべきです。

 

  • ユーザーのミスや内部データ漏洩を防ぐために、特定の条件に合致するキーワードを登録し、それに該当するメールは内容を暗号化して送信することが推奨されます。




悪意のあるメールアドレスへの送信を警告またはブロックし、大容量の添付ファイルを安全に送信し、ユーザーのミスによるデータ漏洩を防ぐ機能は、機密情報の保護とセキュリティ事故の予防に不可欠です。これらの対策は、情報漏洩を最小限に抑え、組織のセキュリティ状態を維持するために重要です。

 

 

8.4 攻撃者による発信メールの脅威対応のためのセキュリティ要件

 

8.4.1 アカウント乗っ取りを利用した攻撃対応のためのセキュリティ要件

 

  • セキュリティ管理者およびユーザーが特定のIPアドレスおよび国を設定して、メールアカウントへのアクセスを許可またはブロックできるようにすることが推奨されます。

 

特定のIPアドレスおよび国を設定してメールアカウントへのアクセスを許可またはブロックする機能は、アカウント乗っ取りの試みが疑われる場合に迅速に対応できるため、セキュリティ強化に役立ちます。これにより、潜在的な攻撃を事前に遮断し、組織の機密情報を保護することが重要です。

 

8.4.2 無断メールサーバーアクセス攻撃を防ぐためのセキュリティ要件

 

  • 無断のメールサーバー攻撃を判別するために、アクセスに関する詳細情報を識別し、これをメールサーバーに伝達せずに直接ブロックできるようにする必要があります。

 

  • 送信者のSMTP情報が受信者のSMTP情報と一致しない場合、そのメールの送信をブロックする必要があります。

 

アクセス時に詳細情報を識別し即座にブロックすることで、不正なサーバーアクセスを迅速に防止できます。また、送信者と受信者のSMTP情報が一致しない場合、メールをブロックすることで、偽装されたメールを効果的に遮断することができます。

 

 

結論

現在、多くの被害が発生しているメールを介した個人情報漏洩を防ぐために、個人情報を安全に守ることは非常に重要です。ハッキング技術はますます巧妙になり進化しているため、こうした被害を防ぐためには問題の認識と解決が鍵となります。特に、メールを通じてアカウントを乗っ取り、乗っ取られたアカウントを悪用して二次被害が発生する事例が増加しています。これを防ぐためには、メールの国際標準の遵守、定期的なモニタリング、そして従業員教育が不可欠です。

 

国際標準を遵守することは、このような問題を予防するために効果的な手段です。国際電気通信連合(ITU-T)で採用された信頼できるメールセキュリティ標準は、さまざまな種類のメール攻撃に対する対応策を提供しています。

 

詳細が気になる方は以下のリンクをクリックしてください! 

「国際標準開発企業の標準メールセキュリティソリューションを調べる」



これらのソリューションにより、ユーザーはさまざまな電子メールの脅威から保護され、個人情報を安全に守ることができます。

 

参考