これは実際にあったビジネスメール詐欺の話です。計画は失敗に終わりましたが、それは単に運が味方しただけではなく、インシデント発生後の機敏な対応の成果でした。
サイバー犯罪者は、海外送金を行おうとしていた投資会社をターゲットにしました。投資会社の従業員のメールアカウントを乗っ取り、偽口座情報の記載された送金依頼メールが銀行に送られました。
警告のきっかけになったのは、フィンランド語に直訳された送金依頼メールででした。このメールは、送金手続きが完了するまでの間に投資会社社員のアカウントから数回送信されました。最初の2通は、フィンランド語のメールで、3通目は別の言語に翻訳されたものでした。
本物そっくりのメール
エフセキュアの情報セキュリティ専門家であるJanne Kauhanen(ヤンネ・カウハネン)は、「電子メールは、従業員を装った犯人から送られたものでした。」と述べています。送金依頼メールには、複数の口座番号が記載されたExcelファイルが添付されており、300万ユーロの送金先の口座番号のみが改ざんされていました。」
投資会社の顧問弁護士からの連絡で、エフセキュアのプリンシパルリスクマネジメントコンサルタントMarko Buuri(マルコ・ブーリ)と彼が率いるフォレンジックチームは、事象の検証のためタイムラインの作成を開始しました。この調査で、当該従業員のOffice365のアカウントが、インシデント発生の約1ヶ月前にハッキングされていたことが判明しました。
「配達業者からの本物そっくりのニセメールが届き、そのメールを介してアカウントが侵害されていました。著名な企業名を餌にしたフィッシングメールです。また、Office365のログインに多要素認証が導入されていなかったため、アカウントのコントロールが簡単に奪われてしまいました。投資会社内で、多要素認証導入に関する意思決定の経緯をすべて把握しているわけではありませんが、通常2つの理由から企業は多要素認証導入を見送ります。」とJanneは言います。「まず、導入に伴いOffice365のライセンス料が高くなるというコストの問題。次に、多要素認証の設定に関する従業員教育とサポートの手間の問題です。実際、設定は容易ではなく、ユーザには面倒を掛けてしまいます。」
盗まれたパスワード
サイバー犯罪者は、この会社の他の従業員のアカウントの侵害も試みていましたが、それは失敗に終わっています。Janneはこう説明します。「従業員は、この手のフィッシングメールが、今回のような事態を引き起こす可能性があることを認識していませんでした。通常、従業員は同じパスワードを別のサービスのログインでも使いまわす事を気にしていません。しかし、一旦アカウントが侵害されると、同じパスワード使っている別のサービスも簡単に侵害される恐れがあります。また、私たちが今認識していることは、犯罪者が流出した膨大なメールアドレスとパスワードのリストを利用して企業のアカウントへの攻撃を行っているという事実です。」とMarkoは付け加えました。
フィッシングメールは、今回のような攻撃の前段階で利用される極めて有効な手法です。「この従業員は、EメールにあったURLをクリックして、偽のOffice365のサインイン画面に遷移されました。一般のユーザでは、偽のログイン画面と正しい画面の見た目の違いを区別することは非常に困難で、従業員がユーザー名とパスワードを入力した際、パスワードが盗まれていました。これは、誰もが犯しがちな過ちです。」とJanneは述べています。
エフセキュアのアナリストが、この投資会社と銀行との間でやり取りされたEメールをチェックしました。また、従業員のOffice365のセキュリティログ履歴や、使用しているハードウェアについても調べました。
徹底的な精査
「ひょっとしたらキーロガーが仕込まれているかもしれないと考え、ノートPCも調べました。それまでは、フィッシングが原因だと推測していたたため、PCは確認していなかったからです。」とMarkoは説明します。「Webブラウザからユーザの行動が再現でき、従業員がEメールを開き、偽のOffice365のサインイン画面で資格情報を入力したことが確認できました。」Markoは続けます。「2年半の保存期間中に蓄積されたEメールはすべて窃取されたと想定しなければなりませんでした。Eメールには、氏名、Eメールアドレス、詳細連絡先など、他の人の個人情報も含まれています。また、業務上の必要性からスキャンされたパスポート画像もありました。これらすべてが盗まれたと考える必要がありました。」
当該従業員は、サイバー犯罪者によって会社での役割が正確に把握されことで、ターゲットとなりました。業務上の役割を知る目的で利用されるサービスの1つにLinkedInがあります。このサービスでは、しばしばLinkedInアドレスから電子メールアドレスも推測することができます。
最も弱いリンク
エフセキュアの専門家は、他にも侵害されたアカウントがあるかどうか検証する方法について説明しました。「すべての従業員のOffice365アカウントを調査して、ある特定の種類の設定を探すようアドバイスしました。もし、そのような設定が存在していればそれらのアカウントも侵害されていることを示す有力な証となり得るからです。」とMarkoは述べています。
結局、特定の設定は見つかりませんでしたが、従業員にはパスワードのリセットが指示されました。その上で、今回のようなEメールを受け取った場合の攻撃を封じ込めるために、Eメールのリンクを決してクリックしないよう警告しました。Markoはさらに続けます。「パスワードの再設定は、良いアドバイスになりました。なぜなら、従業員がパスワードをリセットした直後に、同じフィッシングメールを受信したからです。誰かが再びアカウントの侵害を狙っていたことが確認されました。」と説明します。また、Markoは、「誰もその従業員を責めるべきでない」と付け加えています。
今回のインシデントは興味深い疑問を提起しました。その1つは、なぜこの手の指示にExcelが使用されていたかということです。「同社では、送金方法として暗号化されていないEメールでExcelシートを添付する方法が用いられていました。そして、社員の誰もがそれが当たり前のことと考えていました。恐らく、何百万ユーロもの大金の送金指示をするのであれば、Eメールではなくもっと安全な方法を用いるべきでしょう。」とJanneは述べています。
マスキングされていたアイデンティティ
今回の犯人は周到に準備をしていました。オンラインでEメールを絶えず監視し、犯罪を実行するための最適な情報を入手するまで忍耐強く待っていました。彼らは周到に身元を隠していましたが、Markoのチームは、ハッキングしたアカウントにアクセスするために使用された複数のIPアドレスがナイジェリアのプロバイダに属していたことを突き止めています。「もちろん、私たちは攻撃者が誰だったのか、彼らがナイジェリアにいたのかまでは申し上げられません。犯人は、特定のナイジェリアのISPアドレスの範囲に属するプロバイダから侵害したコンピュータを利用していた可能性があります。これらの犯人が侵害されたコンピュータを複数利用していない限り、このプロバイダを使って攻撃したように思われます。」
幸いにも、同社は送金通貨と支払通貨が異なっており、外国為替取引が行われていた間、資金は保留勘定に凍結されましたため、数時間のうちに送金した300万ユーロを無事に回収することができました。「こうしてサイバー犯罪者たちは逃げ出しました。」とMarko Buuriは締め括っています。
カテゴリ