ビジネスメール詐欺(BEC)は大規模な形で実行される、犯罪者にとって実入りのよい詐欺行為だ。しかし、Microsoftは米国時間6月14日、こうした詐欺行為を働くグループが用いているクラウドインフラの解体によって、その活動を阻止したと発表した。
Microsoftはこうした詐欺グループに対抗し、彼らが利用しているインフラを見極めるために、同社のデジタル犯罪部門(DCU)を投入した。BECを働くグループは、一般的な企業と同様に、クラウドでの運用形態に移行してきている。しかしMicrosoftは、同社の調査担当者らの働きによって、複数の大手クラウドプロバイダーを利用していたある大規模なBECグループの活動を阻止できたと述べた。
ランサムウェアが注目されているが、BECは米国の企業にとって、被害額の大きいサイバー犯罪の問題の1つとなっている。米連邦捜査局(FBI)は最近、2020年にサイバー犯罪者や詐欺師の攻撃によって起きた被害は、41億ドル(約4400億円)を超えると報告した。その中で最も被害額が大きかったのは、BECと電子メールアカウント侵害(EAC)で、被害総額は18億ドル、件数は合計1万9369件だった。
今回のケースにおいて、犯罪者らはクラウドベースのインフラを使用したフィッシング攻撃を通じて電子メールアカウントを不正に入手した後、それらのアカウントに電子メールの転送ルールを追加することで、金融取引に関する電子メールを入手していた。
さらに犯罪者らは、彼らの活動とインフラを暴き出そうとする調査担当者らの取り組みを妨げるために、複数のテクニックを利用していた。
Microsoftのセキュリティ研究者は、「複数のウェブサービスでホストされる攻撃インフラの利用によって、攻撃者は密かに活動できるようになっている。これはBEC攻撃の特徴といえる。攻撃者は、異なるIPや時間枠で別々の活動を行い、研究者が個別に行われているように見える活動を1つのオペレーションだとして関連を示すことを難しくしていた」と説明する。
Microsoftの発表によると、たいていのBEC攻撃は正規のネットワークトラフィックにまぎれ、防御側の警告リストに挙がってこないため、検出が難しいという。
Microsoftは、「Microsoft Azure」や「Microsoft 365」といった自社の大規模クラウドビジネスによって、電子メールのトラフィックやアイデンティティー、エンドポイント、クラウドの可視性が向上するとして、BEC犯罪を検出する同社の能力を積極的に発表している。
「フィッシングメール、エンドポイントにおける悪意ある行為、クラウドでの活動、そして侵害されたアイデンティティーに関するインテリジェンスを利用し、Microsoftの研究者は全容を明らかにした。エンドツーエンドの攻撃チェーンの概要を理解し、インフラまでさかのぼって活動を追跡した」(Microsoft)
Microsoftは、調査対象となっているBECキャンペーンと、犯罪者が被害者の「Office 365」メールボックスへの認証情報を入手し、アクセスするために仕掛けていた以前のフィッシング攻撃との間に関連を見出した。同社は、多要素認証(MFA)を有効にすることでこのようなフィッシング攻撃を阻止できるとしている。
同社の担当者らが調査したところによると、電子メールの転送ルールが作成される前に、これらの電子メールアカウントには、おとりとなるボイスメッセージとHTML形式のファイルが添付されたフィッシングメールが送信されていた。そして、その電子メールは外部のクラウドプロバイダーが所有するアドレスから送信されていた。
このフィッシングキャンペーンでは、本物そっくりに見えるMicrosoftの偽のログインページを、ユーザー名が既に入力された状態で表示し、ユーザーをだまそうとする。そして、パスワードが入力されると、JavaScriptで記述されたスクリプトによって犯罪者のもとに送付されるようになっている。
なお、追加される転送ルールは極めてシンプルであり、基本的には電子メールの本文に「請求書」や「支払い」「明細」という単語が含まれている場合、攻撃者の電子メールアドレス宛に該当電子メールを転送するというものとなっていた。
攻撃者は自らの活動を隠蔽(いんぺい)するためにさまざまなクラウドインフラを利用していたが、Microsoftはユーザーエージェント内に幾つかの共通要素があることを発見した。それらの例として、「Google Chrome 79」で転送ルールが作成されている、またMicrosoftアカウントにログインする際にMFA通知を控えるようなルールが使われているなどが挙げられる。
同社の調査によって、攻撃者はこのキャンペーンを実行するに当たって複数のクラウドプロバイダーのサービスを悪用していたことも明らかになった。Microsoftは明らかになった内容をこれらプロバイダーのクラウドセキュリティチームに報告し、各チームが攻撃者のアカウントを停止したことで、このインフラは解体されたという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。