身元を偽ってユーザーをだますメール詐欺・攻撃は、手口がシンプルながら攻撃者にとって効果的な手段として長年にわたって悪用され続けてきた。では、なぜ私たちは注意していてもだまされてしまうのだろうか。今回は攻撃者が身元を偽る主な手段を解説する。
数億円規模の被害をもたらすBECも、始まりは「なりすましメール」から
サイバー攻撃は増加の一途をたどっており、前回の記事で取り上げたさまざまな脅威の中でも、大きな被害をもたらしているのが「EAC」(Email Account Compromise:電子メールアカウント侵害)や「BEC」(Business Email Compromise:ビジネスメール詐欺)といったメール詐欺・攻撃だ。実は、これらの攻撃が世の中で大きく騒がれているランサムウェア以上に多額の被害をもたらしている。
だがメール詐欺・攻撃は、ゼロデイ脆弱性(一般に知られていないソフトウェアなどのセキュリティ上の問題)の悪用といった技術的に高度な手段を弄しているわけではない。むしろ、手口自体は非常に単純だと言えるだろう。
例えば、数万ドル規模の金銭を詐取したと言われる攻撃者グループ「TA2519」が展開したBECでは、受け取った人物の興味を引きそうな話題を盛り込んだメールを送りつけてマルウェアを仕込み、そのマルウェアを用いてIDとパスワードといった、ユーザーの認証情報を盗み取った。その後は、盗んだ認証情報を用いて本人になりすまし、頻繁にやりとりしている同僚や上司、取引先に偽のメールを送り、金銭を支払うよう仕向けていったという。
既に大半の認証システムやメールシステムでは、セキュリティ対策として数回続けて認証に失敗すると不正アクセスと見なし、アカウントをロックする仕組みを備えている。このため、攻撃者が総当たり攻撃でアカウントの侵害を試みても、成功率は26%と、そこまで高くはない。これに対し、フィッシングなどでアカウント情報の詐取を試みた場合、成功率は65%に高まるという。
便利なはずのメールの使用を逆手に取った、あの手この手のなりすまし手法
では、なぜメール詐欺・攻撃の成功率は高いのだろうか。ユーザーをだまし、本物のメッセージらしく見せかける幾つかのなりすまし手法が使われていることが大きな理由と考えられる。主な偽装手法を説明しよう。
なりすましメールの手口