エフセキュアブログ

まだまだある、BECの手口

先月、BEC(Business Email Compromise)の典型的な手口を紹介しつつ、注意喚起を行いました。
エフセキュアブログ : 社長のメールは真に受けるな!

このブログ記事のように社長のメールであれば無視しておけば済むんですが、BECというのは、いわゆる詐欺ですから、攻撃者は手を替え品を替え、あの手この手で襲いかかってきます。時に攻撃者はこちらがメールを無視できないという立場を巧みに利用することもあります。

まず攻撃者は企業のウェブサイト内にある問い合わせフォームからメッセージを送ります。問い合わせ内容は、「御社の新製品に興味があるので、カタログを送ってほしい」という感じです。

Contact Form
[一般的な問い合わせフォーム]

当然そういったメッセージを受け取った企業は喜び勇んで返信するでしょう。

Scheme1
[攻撃者が企業からの返信を受信したところ]

ここで、攻撃者は受信したメッセージへリプライしますが、その際にマルウェアを添付します。
Scheme2
[攻撃者がマルウェア付きメールを送信しているところ]

マルウェアの中身はこのように実行ファイル(bat,exeなど)になっています。
Scheme3
[添付ファイルの中身]

担当者は自分で送ったメールに対する返信なので、ついうっかり添付ファイルを開いてしまう・・可能性が高くなるというのが攻撃の手口です。

対策:
実行ファイルをダブルクリックしないように注意するという精神論ではどうしても限界がありますので、不特定多数の顧客から問い合わせを受け付ける人の端末では、実行ファイルの実行をシステム的に制限しておくことをおすすめします。
具体的な方法は過去の記事で紹介しています。

社長のメールは真に受けるな!

BEC(Business Email Compromise)というサイバー犯罪の手口が、昨年から少しずつ話題になりはじめ、FBIからも再三に渡って注意喚起が出されておりまして、先日とうとう合計の被害額が31億ドルを超えたそうです。

Business E-mail Compromise: The 3.1 Billion Dollar Scam
Internet Crime Complaint Center (IC3) | Business E-mail Compromise: The 3.1 Billion Dollar Scam より

日本ではビジネスメール詐欺と呼ばれていますが、その手口を簡単に紹介します。

犯人は社長(または経理担当者や取引先など)になりすまし、従業員にメールを送ります。
今出先なんだけど、この前話してた業務提携の件で至急この口座に300万円送金してくれ!

普通こんなメールを受け取ったら即スパムフォルダ行きでしょう。
ところが、もし実際に提携話が存在しており、この従業員が社長から、
今度の出張で提携先候補と契約金500万円前後で交渉する。終わり次第結果を連絡する。
というメールを事前に受け取っていたとしたらどうでしょう?

犯人はあらかじめマルウェアやフィッシングなどを利用し、社長のメールボックスを盗み見ていますので、事前の会話内容を把握しタイムリーな話題を使うことが可能なんです。

数週間後には、
従:社長、この前の契約金の領収書が来ないんですが・・
社:契約金?何の?
従:えっ?
社:えっ?
となりそうですが、犯人はメールボックスの監視を続け、なりすましで適当にお茶を濁しながらマネーロンダリングのための時間を稼ぎます。

Stalling
犯人がお茶濁しメールを作成している様子

抄訳
被害者:今日銀行に確認しましたが、まだ入金されていませんでした。再度銀行に確認しますので、送金に使った銀行コードを教えてください。

犯人:ご機嫌いかがですか?健やかにお過ごしのことと思います。
ご参考までにお伝えしておくと、こちらは先日まで休暇をいただいておりまして、本日より業務に復帰したところです。送金に関しては情報をいただけると幸いです。

相手がいくらタイムリーな話題や二人だけの秘密を知っているからといって、信用してはいけません。
社長以外にも、取引ベンダーや経理担当、弁護士などになりすますパターンもありますが、
典型的な手口として、外出先や緊急事態を理由にしてフリーメールで連絡が来ることが多いです。そこで気づければよいのですが、それよりも基本的な対応として、「振込先の変更」や「新規の振込先」などをメールで指示されたとしても必ず電話でも確認する、ということをおすすめします。

今のところはまだ英語での詐欺が主流ですので、海外とのやりとりが多い企業の方は特に要注意です。

#Citizenfour が6月11日から日本で公開 - スノウデンへの密着ドキュメンタリー

元NSA契約業者職員だったエドワード・スノウデンに密着取材したドキュメンタリー作品「Citizenfour」が6月11日から日本でもやっと公開される。「Citizenfour」2014年アカデミー賞のベスト・ドキュメンタリー賞として選ばれたことは1年ほど前にエフセキュアブログにも書いたが、アメリカでの初公開から1年半遅れの日本公開となる。
とはいえ6月4日にはJCLUのイベントでネット経由で出演し日本でのメディア報道の自由の状況に警告を発したり、 2013年の暴露以前にNSA内でも問題を指摘しようとしていたことがVICE Newsのアメリカ情報公開法に基づくNSA内部資料入手により明らかになるなど、スノウデンの告発による衝撃はいまでも続いている。 
JCLUイベント  https://www.youtube.com/watch?v=fL3x_9PHrWY 
Exclusive: Snowden Tried to Tell NSA About Surveillance Concerns, Documents Reveal 

日本版トレイラー

(しかし相変わらず日本ではこの映画も含め「元CIA職員」という肩書きが使われ、スノウデンが「元NSA契約業者Booz Allen Hammilton職員」だったことが歪められている)
劇場情報はこちらから http://gaga.ne.jp/citizenfour/info/?page_id=20 
 

ウイルス対策ソフトの第三者評価

ウイルス対策ソフトの選定にお困りの方は多いと思います。そのため、第三者評価ということでいくつかの機関が評価結果を出しています。が、評価機関も複数あって、どの評価機関のものを信用していいかわからないというのが実情だと思います。

さらに、当然のことながら各社のマーケティングは自分たちに都合の良い結果が出ている評価を意図的に選んで使うため、結局、各社ともに「自分たちがトップ!」というグラフが出てきます。

ThirdParty_Symantec ThirdParty_Trendmicro ThirdParty_Kaspersky
第三者機関の評価・受賞暦|シマンテックストアより引用 エンドポイントセキュリティ製品(個人向け)の技術評価 | トレンドマイクロより引用 カスペルスキー製品、2015年の第三者評価機関のテストに94回参加し、60回のトップ評価を受賞 | カスペルスキーより引用

そんな中、エフセキュアブログの記事、エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果は一味違います。
ThirdParty_FSecure
エフセキュアブログ : AV-Comparativesによる現実世界のテスト結果より引用

よく見るとこれは「自分たちがトップ!」というグラフではなく、あえて順位を書き出してみると、
一位:カスペルスキー
二位:トレンドマイクロ
三位:エフセキュア
となっているのです。

これは確かに信用できそうですね。

IC3のインターネット犯罪レポート

 IC3(the Internet Crime Complaint Center、米国インターネット犯罪苦情センター)の「2015 Internet Crime Report」を通読するのに、1日のある時間を費やしたが…、数値に目を見張る。2015年にIC3が受理した苦情は288,012件で、10億ドル超の損失があったと報告されている。

IC3 2015 Crime Types

 ホットな話題は?BEC(Business Email Compromise)、EAC(Email Account Compromise)、ランサムウェアだ。

 明るい話題(もしあるとすれば)としては、人口統計によればインターネット上の犯罪では格段の性差別や年齢差別があるようには見えないことだ。

IC3 2015 Complainant Demographics

 誰の金であろうと構わないのだ。

CVEセキュリティ脆弱性のデータを丸裸に

 今年のアドビ関連のCVEセキュリティ脆弱性は、2015年のレベルを上回り着実に増加している。cvedetailsのデータを調べると、今までのところ、2016年は2015年の51%の件数がある。今はまだ5月なのに。

 2015年はコード実行の脆弱性が大豊作の年だった(335件)。

CVE Details Adobe By Year
情報源:CVE Details

 この傾向は2016年も繰り返されている。

 そして脆弱性の宝庫となる原因になった製品はなんだ?Flash Playerだ。もちろん。

CVE Details Top 50 Products
情報源:CVE Details

 アドビは、我々と同様、早く2017年になることを切望しているに違いない。

ビヘイビアエンジンの現状はどうなってる?

 スキャンエンジンが1980年代の原始的なシグニチャベースの祖先から、どのようにして現在へと進化してきたかについて、つい先日記事を投稿した。マルウェアやエクスプロイトのような脅威からエンドポイントを保護するに至り、ファイルスキャン自体はパズルの小さなピースに過ぎなくなった。当該記事ではその背景に触れた。そして本日、私はビヘイビアエンジン、別名HIPS(host-based intrusion prevention system)に焦点を合わせる。

 平たく言うと、ビヘイビアエンジンは悪意がある可能性を有するアクションについて、システム上のプロセスの実行を監視することで機能する。もし1つまたは一連の、悪意のあるアクションを見つけたら、そのプロセスは停止される。これにより、悪意のあるペイロードが目的を達成することが絶対にないように徹底する。

F-Secure Internet Security 2007
ビヘイビアの監視。おおよそ10年前に導入

 ビヘイビアの監視ではマルウェアの実行ファイルをブロックするのに加えて、Webベースの弱点を突く試みを阻止し、OfficeのマクロやPDFのような非PE(Portable Excutable)形式のマルウェア感染ベクターをブロックするためにも使われ得る。これは、Webブラウザや、文書のビューワやエディタのような一般的なアプリケーションを監視することによって実現される。

 たとえば、もしユーザが悪意のあるサイトに訪れたとき、ビヘイビアの監視によりブラウザのプロセスそのものに弱点を突くような試みがあるという兆候を掴んだら、不正利用が始まる前に当該プロセスを停止する。蓋を開けてみると、これはゼロデイの攻撃を阻止するのにうってつけの方法であった。

 それで、なんでビヘイビアエンジンがこんなに便利なのか、って?真相はこうだ。悪意のあるペイロードの大多数が、システムを感染させるために、数は少ないながら一切合切同じトリック群を使っているのだ。Excelファイルが実行ファイルやシェルコードをディスクに書き込んだり、システム上の実行コードを起動したりしようとしたら、これは悪意があるのにまず間違いない、と考えられる。この種のビヘイビアは正当な文書ではまったくもって聞いたことがない。

 ビヘイビアに応じてブロックするということは、サンプルがどのように「見える」かを意識する必要がない点ですばらしい。シグニチャベースでスキャンするやり方を回避する目的で、新しいマルウェアが次々と公開される。しかし、このようにバージョンが異なる場合でも、依然として同一のアクションを実施する。ビヘイビアに基づき最初の1つを検知したら、以降のものも検知することになる。

 マルウェア作者がビヘイビア上のルールを回避できる手段は、新たなアクション群を携えて登場することだけだ。そして新たな感染ベクターが非常に高い頻度で出現することはない。その理由として、大半の場合、新たなマルウェアやエクスプロイトが表面化したときには、我々はすでに当社のビヘイビアエンジンでそれをカバーしている、ということが挙げられる。マルウェアの作者たちが一定期間使用を続けてきたトリックは、これからも継続して使われる可能性が高い。

 しかしながらクライアントサイドでのビヘイビアの監視は、警告抜きでは実施できない。監視するプロセスはいずれも、パフォーマンスに軽微な影響を与える。この理由により、監視する対象を制限することは重要である。これはいくつかの方法で実現できる。

 ホワイトリストはスキャンをすべてスキップできる簡単かつ迅速な方法である。それゆえにエンドポイント保護ソフトウェアでは、その他の分析ステップに先立って、ホワイトリストの確認を行うことは珍しくない。サンプルの暗号学的ハッシュのようなシンプルなメタデータや、あるいは署名付き証明書のようなより複雑なメタデータを基に、ファイルをホワイトリストに登録できる。

 スキャンエンジンは一般にビヘイビアエンジンよりも高速である。したがって、ファイルが実行される前に(たとえばファイルがディスクに書き込まれるときや、ネットワーク経由で到着したときなどに)悪意があるか否かを判定するためにスキャンエンジンが使えるのであれば、パフォーマンスの小幅な改善が得られる。

 人間に例えて、以上すべてがどのように動作するのかを明らかにしよう。

 ある企業の警備隊には、社屋の物理面での安全を監視する任務がある。大半の時間は、ずらりと並んだ監視カメラからの映像をモニターすることに費やしている。警備員の一部は交替で社屋を見回る。

 一日を通じて、社屋への出入りがある。従業員の大半は見えるようにIDカードを身に付けている。一部の従業員は警備員に知られてさえいる。この例えでは、こうしたIDを身に付けた従業員がホワイトリスト上のサンプルに相当する。警備員はこのような従業員にはたいして注意を払う必要はない。なぜなら「良い人」だと分かっているからだ。

 また訪問者も一日中、出たり入ったりする。新たにやって来る客たちについて、警備員は知らない。訪問者は受付で同伴者を待って、さらに奥へ行く前に一時的なIDカードを保持するように案内される。構内にいる間、訪問者には常に従業員が付き添っている必要がある。記名して一時的なIDを得るという、従業員と会うプロセスは、大まかに言ってスキャンエンジンにかけられるサンプルに例えられる。スキャンエンジンは「良い人」かどうかは判別が付かないが、たぶん悪意がないことは分かる。

 今回の仮定の状況において、午後のある時点で、手続きを踏まなかった人がやって来たとする。従業員が全員忘れずにIDカードを身に付けているとは限らないので、来たのは従業員なのかもしれない。しかし警備員の誰も、彼の顔に見覚えがない。到着後まもなく、この未知の訪問者は受付を通り過ぎ、ある従業員の背後にぴったりとついて本館へと達した。警備員は直ちにこの振る舞い(ビヘイビア)に気付き、監視カメラの映像を通じて彼を監視している。また見回り中の警備員の1人に連絡をして、未知の訪問者のいる場所へ向かわせた。このステップは、ビヘイビアの監視を始めることに例えられる。

 この訪問者の振る舞いを警備員が引き続き厳しく監視している中で、彼が社屋の廊下を歩き、ついに立ち止まってバックパックからバールを取り出し、会社のサーバルームの一室を開けようとしているのを観察した。この時点で、警備員が現場に現れ、サーバルームに接近するのを阻んだ。

 1つの行動によって、ある脅威が実際に悪意のあるものかどうかを判別するのに十分なときばかりではない。一連の行動、今回の場合には同伴者なしで本館へ通り抜け、施錠されている部屋へ押し入ろうとしたことが、最終的に行動を取るように導く、一連の指標となった。

 クライアントサイドでのビヘイビアの監視は、一般的なマルウェアやエクスプロイトからシステムを保護するのにもっとも効率的な方法の1つだが、バックエンドでのビヘイビア分析は、また別の強力なツールをもたらす。

 クラウドコンピューティングのインフラを用いると、計測器付きのサンドボックスを同時に数千起動できる。ファイルやURLがこうしたサンドボックスへ送り込まれて実行される。個々に起動して、実行中に発生したことに基づいてメタデータを生成する。こうしたメタデータには、サンプルが実行されているシステムに対する変更と、サンプルそのものを実行した痕跡の双方が含まれ得る。続いて、この得られたメタデータは、一連のルールエンジンによって疑わしいビヘイビアがないか分析される。サンプルはさらなる分析のためのフラグが立てられ、多くのケースでは、自動的にオンザフライで検知が生成される。

 バックエンドのサンドボックスを活用することで、1日当たり数十万件のファイルやURLを分析できる。手作業で行うのはほぼ不可能な件数だ。このプロセスにより、自動的な静的分析のプロセスと合わせて、サンプルのカテゴリー化やグループ化が容易に行えるようになる。

 クライアント自体あるいはバックエンドのいずれで用いられるにせよ、ビヘイビアの監視は悪意のある脅威からシステムを保護する強力なツールである。ビヘイビアの監視技術はある状況においてエンドポイントで実施されるに至る。この状況とは、システムがどのように脅威と遭遇したのかによる。これまで説明してきたとおりビヘイビアによるブロックは、悪意のあるサイトを訪れ、悪意のあるドキュメントを開いたり、悪意のある実行ファイルを起動したりしたときに(アクション!)始動する。この理由により、VirusTotalのスキャンレポートではこの種の結果を確認できない。ビヘイビアによるブロックが要因となり、当社製品が現実世界の状況下でどれくらいうまくいっているのかを確認したいのであれば、AV-ComparativesAV-Testでのテスト結果をチェックするとよい。

 当社のHIPS技術がどのように動作するかについて、より技術的な解説にご興味がおありなら、ホワイトペーパーを確認してほしい

バックナンバー
セキュリティ関連リンク
セキュリティ機関

政府関連

セキュリティ関連団体

研究機関・大学
詳細カテゴリ
メディア関係者の皆様へ
エフセキュアブログメンバー
エフセキュアブログメンバー
ミッコ・ヒッポネン
エフセキュア CRO(セキュリティ研究所主席研究員)(ヘルシンキ)
(Twitterアカウント)
(研究所Twitter)
ショーン・サリバン
エフセキュア セキュリティ・アドバイザー(ヘルシンキ)
(Twitterアカウント)
高間 剛典
メタ・アソシエイツ代表
(公式ブログ)
(Twitterアカウント)
星澤 裕二
株式会社セキュアブレイン 最高技術責任者
(公式ブログ)
(人物紹介)
岩井 博樹
デロイト トーマツ リスクサービス株式会社 (〜2013年3月 株式会社ラック) 情報セキュリティ大学院大学 客員研究員
(Twitterアカウント)

(人物紹介)
福森 大喜
株式会社サイバーディフェンス研究所 上級分析官
CDI-CIRTメンバー
(人物紹介)
鵜飼 裕司
株式会社FFRI 代表取締役社長
(人物紹介)
福本 佳成
楽天株式会社 システムセキュリティ室 室長
Rakuten-CERT representative
(人物紹介)
神田 貴雅
エフセキュア株式会社 プロダクトグループ 部長
富安 洋介
エフセキュア株式会社 プロダクトグループ
コーポレートセールスチーム
エフセキュア株式会社
(エフセキュアブログ公式Twitterアカウント)

海外記事翻訳
株式会社イメージズ・アンド・ワーズ
エフセキュアメールマガジン

ブログに載らないメルマガ限定情報や、技術者インタビュー、製品情報、技術解説を掲載して毎月一回配信します。アドレスのみの登録で購読無料。

エフセキュアブログQRコード
QRコード