来る年に出現する最大級のメールセキュリティの脅威についての見通しを立てる時期が今年もやってきました。Vadeの専門家が、2021年に企業に最も大きな影響を与えるであろう脅威について意見を述べました。
1. スレッドハイジャックが増加する
Vadeのサイエンス部門最高責任者であるセバスチャン・グータルは、2020年7月に始まったEmotetマルウェアの攻撃の波で使われたスレッドハイジャックは、急速に成長する恐ろしいメールセキュリティ脅威になると予測しています。
「この技術は、被害者との既存のメールのやり取りを利用して、新しい被害者に攻撃を広げていきます」とグータルは説明します。 Emotetは、Outlook Scraperなどのツールを使用して、感染したコンピュータ上のメールスレッドにアクセスします。「一度侵入したら、ハッカーは自らスレッドに割り込み、受信者に悪意のあるリンクをクリックするように指示したり、攻撃するために用意されたWord文書を開くように要求したりします」
グータルによると、スレッドハイジャックの成功率が高い理由は二つあります。第一の理由は、その悪意のあるメールが信頼できる送信者(メールが感染してしまったユーザー)から送信されることです。第二に、過去に通常のやり取りを行ったという事実があるため、標的にされた受信者の警戒心が緩みます。
さらに、グータルは、Word文書でのVBAマクロコードの難読化のようなAVエンジンをすり抜ける技術を含めて、Emotetによる攻撃で多くの高度な技術が使われるようになるだろうと予測しています。
2. リモート画像ベースの脅威がメールのセキュリティのフィルターを限界まで追い込む
Vadeの研究エンジニアであるダミアン・リケによると、メールフィルターをすり抜ける画像操作技術が成功したことを足がかりに、ハッカーは現在、悪意のあるテキストコンテンツを保存するためにリモート画像を使用しています。メールに埋め込まれた画像とは異なり、リモート画像はネットワーク経由で取得しなければならないとリケは言います。ネットワークを介したリモート画像の検出は複雑で時間がかかるため、リアルタイムで検出することができません。以下は、ハッカーがリモート画像を使ってメールフィルターを混乱させるために使用している手法の一部です。
- 固有のURLを使用して、URLのブラックリストを非効率的なものにする
- 複数のリダイレクトを使用して画像のフェッチを遅くする
- クローキング技術を使用して画像のフェッチを無効にする
- 最終的なドメインをブラックリストに登録できないように、レピュテーションの高いドメイン(wikipedia.com、github.comなど)で最終的な悪意のあるリモート画像をホストする
- OCR(光学文字認識)およびNLP(自然言語処理)技術の有効性を低下させるために、画像内のテキストコンテンツを少なくする
Computer Visionは画像から関連コンテンツを分析して抽出しますが、リケによると、それには高額な費用がかかり、CPUを集中的に使用する上に、商用のメールフィルターでは広く利用できません。このため、リケは、2021年にはリモート画像を使用するハッカーが増える見込みだと言います。
3. 侵害されたアカウントがハッカーに新たなチャンスを与える
侵害されたアカウントは、2020年のEmotet攻撃で見られたスレッドハイジャック手法の中核を成しています。しかし、それらは、大規模なスパムの波を含む、さらに巧妙な方法でも使用されています。
11月にVadeは、侵害されたアカウントから送信された悪意のあるスパムの波を検出しました。Vadeの製品およびサービス部門最高責任者であるアドリアン・ジョンドルによれば、この技術は侵害されたアカウントを利用してIMAPにスパムメールをコピーします。
「侵害されたアカウントの認証情報を使って、ハッカーはIMAPを通じて侵害されたユーザのアカウントに接続し、そこにスパムメールを仕込みます」とジョンドルは説明します。 ジョンドルによると、Vadeは、侵害されたアカウントを使用して配信されたスパムメールを1日で30万通以上検出しました。「この手法を使うことで、ハッカーはメールフィルターを完全にすり抜けられます。また、修正後の機能がなければ、阻止するのは非常に困難です」とジョンドル氏は述べます。「私たちが目の当たりにしているこの成功から、脅威とそれを阻止するための反撃による混戦が2021年を通して続くことは間違いないでしょう」と彼は続けました。
さらに、この攻撃方法は主に消費者を対象としていますが、ビジネス市場にも出現するとジョンドルは予測しています。「Microsoft 365は2億人以上のビジネスユーザーを抱えており、さらに増え続けています。ハッカーがMicrosoftのAPIを活用して、この新しい方法で境界防衛をすり抜けることは十分にあり得ると予想しています」
ゲートウェイ型のセキュリティなど、Microsoft 365向けに境界防衛を行っているモデルでは、このような攻撃を阻止できません。「APIを介してMicrosoftに統合されるソリューションが必須条件になりつつあります。Microsoftと統合されているメールセキュリティソリューションは、配信後に受信トレイから悪意のあるメールを削除します。しかし、ゲートウェイ型やその他の境界防衛ではそれは不可能です。
4. ビジネスメール詐欺が世界規模で展開する
ビジネスメール詐欺(BEC)の増加とそれを検出することの難しさは、人工知能によるコンテンツ分析の新たな進歩につながりました。しかしながら、ほとんどのアルゴリズムが外国語のBECを検出するのに苦戦しています。
「当初は、英語とフランス語で書かれたBECが多くありました」とグータルは指摘します。「ところが現在、BECはイタリア語、スペイン語、ドイツ語、スロベニア語などで書かれたものもあります。多くのセキュリティベンダーが米国を拠点としているため、英語のみに焦点を当てていることが問題です」
グータルによれば、ほとんどのアルゴリズムは「英語優先」になっているため、アルゴリズムは当然、母国語である英語の場合に高い機能性を発揮します。「ベンダーは英語以外の言語で書かれたBECに対応することが必要です」とグータルは言います。「しかし、そのためには、検出エンジンに大がかりな更新をしなければなりません。これには、時間と集約的なリソースの両方が必要です。ベンダーが追いつくのに苦労している間に、その結果として生じる空白が外国語で書かれたBECに発展する隙を与えます。それまでは、標的言語で書かれたBECメールが増えると思います」
グータルは、BECの類型も発展していると指摘します。ほとんどのBECによる詐欺は、CEO詐欺、ギフトカード詐欺、確定申告情報の収集に集中していますが、弁護士のなりすまし、給与、銀行詐欺などの他の類型が出現しています。
今後、標的型のBEC攻撃は、より広範な攻撃に移行していくでしょう。BECメールは、これまで会計や人事などの特定の部署の主要な従業員を標的にしていました。「それが変わりつつあります」とグータルは言います。「現在は、1通のメールで5分間に20〜30人の従業員を標的にします。来年はこの手法が発展すると予想されます」
最後に、ほとんどのBECメールには被害者の注意を引く緊急性が込められていますが、Vadeのチャネルセールスの技術責任者であるロマン・バセットによると、これはより巧妙なメッセージに移行していくと思われます。
「巧妙なリクエストがより一般的になってきています」とバセットは言います。「人事部からの社内報や昇進や出張に関するメッセージなど、巧妙に作られたリクエストは、信頼性が高く、警告を発する可能性が低くなります。その目的は、メールのやり取りを始めることとメールフィルターを欺くことの両方です。一度メールのやり取りが始まれば、多くのフィルターは自動的にそのメールをホワイトリストに振り分けるため、それ以降ハッカーが送信するBECメールは検出されなくなります」
5. ベンダーのなりすましがクラウドサービスの信頼を悪用する
Word、PowerPoint、Excelの添付ファイルやMicrosoft 365の共有ドキュメントのリンク付きのメールの受信に慣れているユーザーは、Microsoftや頻繁に利用するその他のクラウドサービスを信頼しています。たとえ不審なメールであったとしても、添付ファイルが好奇心を刺激してしまいます。その結果、ユーザーはベンダーのなりすましに引っかかりやすくなります。中にはハッカーがサプライチェーンになりすますケースもあります。
「たとえば、ユーザーがMicrosoftサービスに寄せる信頼を食い物にするハッカーは、スピアフィッシング攻撃の中でなりすましに使えるビジネスパートナーを特定するためのモデルをフィッシング攻撃で実証しました」とVadeのチャネルセールスエンジニア、EJホエリーは言います。「CEOになりすますのではなく、ベンダーの一つからの仕入れに関する連絡に見せかける攻撃が増加するでしょう。さらに多くのサプライチェーンパートナーがなりすましの被害を受けることになると思います」と、ホエリーは述べます。
6. ハッカーもビジネスも個人的になる
COVID-19(新型コロナウィルス)による疲労、山火事、選挙、社会的緊張。世界中の様々な出来事による不安とストレスは、世界中の市民に打撃を与えています。リケによれば、ハッカーは2020年においては、この事実を悪用して大きな効果を上げており、来年もその傾向が続くことになるでしょう。
「2021年には、ユーザの感情的な脆さを利用するために、さまざまなテーマに関する心理的なトリックを使用するサイバー攻撃が増えると予想されます」とリケは述べます。COVID-19は、2020年に現行の出来事に基づいた多くのメール攻撃を引き起こしました。2021年もこの傾向が継続すると予想されます。
「イベントベースの攻撃は成功しています。なぜなら、世界中の何百万もの人々が皆、良くも悪くも同じことを経験しているからです」とジョンドルは言います。「そのような攻撃が非常に一般的になりつつあるため、ブラックフライデーやCOVID-19などの現行のイベントに基づいて、お客様がメールログで脅威を検索できる機能を開発しました。お客様は、自分たちが標的にされていることとその方法を把握した時に、自社の顧客と従業員に脅威を警戒するように警告できます。これは、悪意のあるメールに関しては普段行われることのない一種の『注意喚起』です」
サイバーセキュリティにおける人間の行動の価値を認識しているのは、ハッカーだけではありません。人間はメールセキュリティにおける最も弱い部分と広く見なされていますが、ベンダーが攻撃を阻止できなかった場合には、人間が最後の防衛線になります。このため、ベンダーが2021年のサイバーセキュリティに人間中心のアプローチを採用する傾向がさらに強まるだろうとバセットは指摘します。
「ベンダーもエンドクライアント組織も、サイバーセキュリティに関してテクノロジーだけに依存していてはいけないことを認識しているようです」と彼は言います。「エンドユーザーは標的ではありますが、味方にならなければなりません」 サイバーセキュリティの認識にさらに注目して投資することが手始めですが、フィードバックループや自動的な認識トレーニングなど、ユーザがテクノロジーに良い影響を与えられるソリューションを導入することで、検出率が向上し、脅威を緩和できるようになります。
