ビジネスメール詐欺から従業員を保護する

Menlo Security | 10月 08, 2020

Share this article

Menlo Imposter Threat Detectionにより、シニアエグゼクティブなどのVIPを標的にした、ペイロードを使用しないなりすまし攻撃を検知

サイバー攻撃は、悪意のあるURLや感染添付ファイルといったペイロードを使うとは限りません。ユーザーを騙して悪意のあるコンテンツをダウンロードさせる攻撃とは異なり、なりすまし攻撃は、ペイロードを使用しません。偽のコミュニケーションを介してユーザーを騙す攻撃であり、オフラインで危険行為へと誘導するものもあります。一例を挙げると、政府機関になりすまして社会保障番号を要求する攻撃、親戚と偽って送金を依頼する攻撃、上司を装って企業の特許情報を持ち出そうとする攻撃などがあります。最近では、新型コロナウイルス感染症（COVID-19）を悪用し、健康情報や治療履歴などの個人情報を窃取する攻撃も登場しています。

また、「CEO送金詐欺」や「ビジネスメール詐欺」といった攻撃では、シニアエグゼクティブになりすました攻撃者が、「緊急を要する」として、通常のチェックや検証を省略して要求を処理させようとします。攻撃者は、被害者や標的となるエグゼクティブに関する情報をソーシャルメディアなどのオンラインソースから収集し、綿密な調査を行います。したがって、このような攻撃は非常に大きな威力があります。実際、わずか1ヵ月で、Goldman Sachs、CitiGroup、Barclays、Morgan Stanley、Bank of Englandという世界トップ銀行5行のCEOが、なりすまし攻撃の犠牲になっています。

Menlo Threat Labsは、脅威サンプルを分析した結果、以下の所見を得ています。

- メールの件名に、特定のパターンはありません。ただし、親しい同僚に返信を求める場合の書式が使用されていました。よく使用される件名には、「Response（返答を求む）」、「Request（依頼）」、「Quick Request（早急な対応を）」、「Urgent Reply（緊急）」、「Hello（こんにちは）」などがあります。
- 件名にメールの受信者の名前が記載されているものもありました。したがって、この攻撃が標的型であることは明らかです（受信者の正しい名前がわかっていることを示します）。

Menlo Imposter Threat Detectionは、ビジネスメールを悪用した攻撃を社内全体で検知し、警告します。このソリューションは、ディスプレイネームスプーフィング、“いとこ”ドメイン、類似ドメインといった手法を使ってシニアエグゼクティブなどのVIPになりすます攻撃を検知します。

シニアエグゼクティブやVIPのメールの振る舞いを自動追跡することで異常を識別する機能と、メールヘッダーと送信者名から偽装メールを検知する機能を備えています。Menlo Securityは送信者の注目度スコアをリアルタイムで作成し、受信者が送信者からメールを受信する確率を計算します。攻撃の情報はインサイトレポートモジュールで確認でき、MenloのiSOCフィードでも参照できます。