Vadeは、トランスポート層を通過せずにメールボックスに直接届けられるスパムメールの波を検出しました。1日で最高の30万件のスパムメッセージを含むこの波は、フランスやイタリアなどヨーロッパ各地で検出されています。
その仕組み
Vadeのセキュリティ研究者は、サイバー犯罪者がEmail Appenderと呼ばれる新しいツールを使用して、侵害されたメールアカウントにIMAPを介して直接接続していると推測しています。闇サイトで入手できるEmail Appenderを使用すれば、サイバー犯罪者は、侵害されたアカウントの認証情報を有効化し、プロキシを設定してIPアドレスの検出を逃れ、悪意のあるメールの下書きをして、侵害されたユーザのアカウントにスパムを配置することができます。
Email Appenderは、2020年10月にGemini Advisoryによって最初に報告されましたが、送信者アドレスの表示名の変更や返信先アドレスの作成など、ハッカーがメールをカスタマイズできるUI(ユーザインターフェイス)が備わっています。侵害されたアカウントの認証情報は、闇サイトで購入され、その後Email Appenderのようなツールで有効化されて、IMAPを介してユーザのアカウントに接続します。
トランスポート層を通過せずにメールを「仕込む」とはどういうことなのか、実際の例をご紹介します。
- メールクライアントで下書きメールを作成します。
- .EMLファイルをコンピュータ上のフォルダにドラッグ&ドロップします。
- Microsoft Outlookの自分のオンラインアカウントにアクセスします。
- Outlookに.EMLファイルをドラッグ&ドロップします。
メールがMicrosoftのセキュリティ層を通過することはありません。仕込まれるのです。
現状では、侵害されたアカウントをシャットダウンし、侵害されたアカウントの認証情報を再設定して修正されます。このためには、ユーザが自分のISPに直接連絡しなければならず、コストがかかります。ISPにかかるサポート要求の平均費用は、20~70€です。
サブスクリプションとしてのEmailAppenderの出現は、サービスとしてのサイバー犯罪の分野で今後起こりうることの前兆です。サービスとしてのランサムウェア(RaaS)は、ローテク犯罪者たちのランサムウェア攻撃の成功を支えています。Email Appenderやそれに類似する他のツールがこの種の成果を示し続けると、サイバー犯罪者コミュニティの口コミで広まる可能性があります。
新たなトレンド
この最新の脅威は主にスパムを使用していますが、ハッカーは技術を磨いてからフィッシングやマルウェアなどのより高度な脅威に移行するだろうと私たちは予測しています。スパムは安価で簡単に作成できますが、フィッシングやマルウェアを成功させるには、より高度な方法とツールが必要になります。
過去にハッカーは、ISPを使った技術を消費者市場で試してからビジネス市場に移行した例があります。これには二つの理由が考えられます。第一に、ビジネスはより洗練されたセキュリティソリューションを導入していること。第二に、ビジネスユーザは、より知識があり、素人っぽい詐欺に引っかかる可能性がより低くなることです。これを成功させるには、ハッカーは自らの技術を完璧なものにするために、それをテストして適用させなければなりません。
この脅威がフィッシングやビジネスメール詐欺、マルウェアに変化した場合、Microsoft365のようなプラットフォームは恰好の攻撃対象です。Microsoft 365のメールセキュリティソリューションの大半は、APIを介してプラットフォームに統合されるのではなく、Microsoftテナントの外部に配置されます。つまり、組織内脅威を検出するためのMicrosoft 365のメールをスキャンしないだけでなく、悪意のあるメールが正常に配信されてしまったら、それに対処できないということです。
貴社を守る
2FA(多要素認証)は、ハッカーがIMAPを介して侵害されたアカウントに接続するのを防ぐことはできません。ただし、ユーザが2FAを有効にしている場合は、接続についてアラートが送信されるため、ISPに連絡して認証情報の再設定ができます。残念ながら、2FAは義務的なものではないため、多くの消費者はサービスを有効化していません。
このIMAPを使った攻撃を見れば、時代遅れの境界防衛にいかに問題があり、APIベースのアプローチがいかに有効なのかが分かります。境界防衛ソリューションは外部に配置されているため、脅威をキャッチできるチャンスは一度きりです。APIベースのソリューションは内部に配置されるため、継続的にメールボックスをスキャンできます。
APIによる方法ならば、内部メールのスキャンも配信後の修正も可能です。IMAPを使った攻撃手段がビジネス市場を標的にするようになったら、企業は脅威が検出された時に内部から対応できるソリューションを導入して備える必要があります。
