来る年に出現するだろう最大級のメール脅威について見通しを立てる時期が今年もやってきました。Vade Secureの専門家たちは、2020年に企業に最も大きな影響を与える可能性のあるメール脅威について論争を繰り広げています。

1.ビジネスメール詐欺(BEC)が企業に大打撃を与える

「私は、引き続きBEC(スピアフィッシング)が企業を狙う市場において主要な脅威になると信じています」と、Vade SecureのチーフサイエンティストSebastien Gouta氏は言います。FBIによれば、BEC攻撃は、2018年5月から2019年10月の間に100パーセント増加し、2018年のビジネス損失額は12億ドル、なお、2016年以降の損失額は260億ドルに及ぶと報告されています。

Vade Secureが検知したスピアフィッシングメールの大半は、「こんにちは、今時間はありますか?」というようなプリテキスティングから始まります。 内容の不足とメールの短さが原因で、この脅威はテキスト内容分析を使用するメールフィルターに検知されずに通過してしまうことがよくあります。

さらに悪いことには、「受信者がメールに返信するとすぐに、そのメールをホワイトリストに登録するベンダーもあります」とGoutal氏は言います。 これは基本的にサイバー犯罪者を被害者とやり取りを続けられる信頼できる送信者にしてしまいます。

さらにGoutal氏は、BECは声をマネできるtext-to-speech (テキスト読み上げ機能)アルゴリズムを含むディープラーニングを活かして、さらに洗練された攻撃を仕掛けるようになるだろうと言います。ハッカーはこの技術を使って、ロボコール、ボイスメール詐欺、さらにCEOや他の上級役員の声をまねた個人化されたボイスメール詐欺までも作り出していくだろうとGoutal氏は言います。

2.セクストーションが新たな攻撃手段で再浮上

セクストーションメールの復活をすでに目にしていますが、2020年はさらに悪化の一途を辿ることになるでしょう。復活するだけにとどまらず、セクストーションはさまざまな新しい技術を導入して効果的になるでしょう。

台頭しつつある一つの傾向は image-as-text(テキストとしての画像)メールであるとVade Secureのチーフ・ソリューション・アーキテクトのAdrien Gendre氏は述べます。メールセキュリティフィルターをすり抜けるために、ハッカーはメール本文にメールのスクリーンショットを挿入します。そのスクリーンショットはウェブサイトにホストされているため、フィルターにスキャンされる内容を含んでいません。

この手法は、セクストーションメールで最も多く使われる手法というだけでなく、多くのフィルターが画像を調べて解釈することができないため、最も検知が難しい手法の一つになるだろうとGendre氏は言います。

もう一つ別の勢いを増すだろう手法は、悪質コンテンツをPDFやMicrosoft Officeファイルに隠して、Apple Mailのようなメールソフトウェアの添付ファイルのプレビュー機能をうまく活用する手法だとGoutal氏は言います。最近のセクストーションキャンペーンで、テキストがPDFの添付ファイルに収められているにもかかわらず、添付ファイルのプレビュー機能によって、エンドユーザーに直接表示されるものがありました。PDF形式のOfficeファイルは特に複雑なため、PDFやOfficeファイルの悪質コンテンツを抽出して阻止できないフィルターが数多くあります。

さらにGoutal氏は、データ漏洩はコンピューターがマルウェアに感染していると被害者に確信させるための新たな攻撃手段をハッカーに与えることになると言います。インターネット上に流出したパスワードを携えたハッカーは、被害者のパスワードに言及するだけでパニックを引き起こし、セクストーションの要求に協力させるように仕向けることができます。

3.フィッシングリンクはファイルホスティングサービスに新たな拠点を見つけるだろう

この一年間は、OneDriveやSharePointからの偽のファイルの共有通知の送信を含むフィッシングキャンペーンの流入がありました。中には、OneDriveやSharePointのURLがフィッシングページに繋がっている攻撃もありました。しかし洗練された攻撃の場合、ハッカーは正規のOneDriveやSharePointのURLを使い、フィッシングリンクを実際のファイルに収めてURLのスキャニングを回避します。

この手法は、 DropBox、Google、WeTransfer、Evernoteといった他のホスティングサービスにも広がっているとGuotal氏は言います。「この種のサービスにマルウェアをホストする傾向は次第に強まっており、その勢いが緩むことはありません」とGoutal氏は言います。

この詐欺の手口は次の通りです:まず、同僚がEvernoteをあなたと共有したという通知メールを受信します。そのメールには、フィッシングサイトへのリンクが仕込まれたEvernoteのノートへのリンク、または、クリックすると自動的にマルウェアをダウンロードするリンクが仕込まれたノートが含まれています。

今のところ、これらのファイル共有通知は偽造されたものですが、近い将来には正規の通知も出現するだろうとGendre氏は言います。

4.2019年のデータの氾濫は2020年に大きな影響を及ぼす

Risk Based Securityによれば、2019年の初めの9ケ月間で5,183件のデータ漏洩が報告され、前年比で33%増加しました。合計すると、79億件のレコードが漏洩しました。莫大な数のユーザー名とパスワード情報を含むこれらのレコードの多くは、フィッシングキャンペーンを通じて盗まれ、闇市場で売られます。

Vade SecureのテクニカルエバンジェリストであるSebastien Gest氏によると、これらの漏洩したデータから、ハッカーはメールキャンペーンを改善するために必要なものすべてを得ることができるそうです。そして、ユーザープロフィールに含まれているデータには、ユーザー名やパスワードなどの個人を特定できる情報と同じだけの価値があると彼は言います。

「ハッカーは被害者の仮想プロフィールを作り始めるでしょう」とGest氏は言います。「プロフィールデータがあれば、ハッカーはあなたの趣味、政党、購買習慣やその他多くの事柄を把握することができます」 仮想プロフィールを使えば、ハッカーは、大量の一般的なフィッシングキャンペーン攻撃よりも成功率の高い、さらに標的化したメールキャンペーンを作成することができるとGest氏は言います。

私たちは、流出したユーザーのパスワードをひけらかすセクストーションメールによって、データ漏洩の影響をすでに経験しています。私たちは、さまざまな形式の脅迫メールだけでなく、非常に標的型のフィッシングおよびスピアフィッシングキャンペーンでこの影響をさらに経験することになると予測します。「2019年のフィッシングの影響を2020年に実感することになるでしょう」とGendre氏は言います。

5.マルチフェーズ攻撃はメールフォーマットと攻撃タイプを混ぜ合わせる

2019年の初めに、私たちはOffice 365のユーザーを標的にしたマルチフェーズ攻撃の出現に注目しました。フィッシング攻撃から始まったものが、一度ハッカーがOffice365のアカウントへのアクセス権を入手すると、スピアフィッシングへと発展します。

下請け業者への攻撃でよく使われる方法であるマルチフェーズ攻撃は、2019年は特にMSPに猛威を振るい、政府機関や医療機関に対する数々の注目を集めるランサムウェア攻撃を引き起こしました。影響を受けた機関の多くは、ランサムウェアがフィッシングメールによって届けられたと報告しています。

2020年には、この種の攻撃がさらに増えると予測していますが、マルチフェーズ攻撃は、フィッシング、スピアフィッシング、ランサムウェア、さらに脅迫メールまでも混ぜ合わせて、さらに洗練された進化を遂げるだろうとGendre氏は言います。

6.フィッシング攻撃は来る選挙で虚偽情報を流す可能性がある

世界中に広まるたくさんの虚偽情報の責任はソーシャルメディアにあるとされていますが、フィッシングの危険性を見落としてはいけないとGendre氏は言います。例えば、2016年に起きた民主党全国委員会(DNC)の情報漏洩は今でも記憶に新しい事件です。これはフィッシングメールによって直接的に引き起こされましたが、この事実は、日々市民に浴びせかけられるその他無数のヘッドラインにかき消されてしまっています。

「すべてはフィッシング攻撃に起因します」とGendre氏は言います。「まず、あなたが感染し、その後はのんびりと聞いているだけ」 このような攻撃は、政治戦略を推進し、対抗勢力を弱体化させて、最終的には有権者に影響を与えるために使われるようになるだろうと彼は言います。ソーシャルメディア、外国の虚偽情報キャンペーン、ハッカーの間で、何が真実で何が嘘なのか、さらには、誰かを信頼しなければならないとしたら誰を信じるべきなのかを判断するのは困難になるでしょう。