勅使河原 猛

勅使河原 猛

ビジネスメール詐欺の分析と帰属

はじめに

 本記事では、BEC(ビジネスメール詐欺)の脅威について記載しています。BECはメールによるコミュニケーションを悪用した企業に対する詐欺行為を指します。BECの攻撃の流れを含む、概念的な要素は、本記事では割愛しております。ご興味がありましたら弊社のBECページ(https://www.macnica.net/solution/bec.html/)に記載しておりますので、そちらをご確認ください。

 弊社で初めてBECを観測したのは2015年頃で、その後もぽつぽつと観測していました。その後、国内企業でも大きな被害が報告されるようになり、昨年から本腰を入れて調査するようになりました。調査以前、筆者は、BECの攻撃頻度は高くないと想定していました。しかし、その予想は誤っており、実際には日々多くの攻撃が発生していることが分かりました。12月末は攻撃数がピークとなり、通常ひと月10件以下である攻撃が、数十件ほど確認出来ました。

 本記事では、弊社が確認した攻撃を分析し、得られた知見を共有したいと思います。

攻撃者との文通

 BECにおける最初のメールの多くは、物品の購入などの依頼(要求)事項など要件を伝えず、「至急」や「機密」などの状況のみを伝えるものが多いです。そのため、これらのサンプルの収集ができても、攻撃者の要求や手口などを知ることは困難です。そこで、受信した攻撃メールに対し返信を行い手口を探るという方法を検討しました。

 以下は、筆者が実際に攻撃者とのやり取りした事例の一つです。

 この攻撃は、非常にシンプルなメールから始まりました。ちなみに送信元は偽装されており、弊社に実在する人物を詐称していました。送信先は、詐称された人物よりも、社内でより高い役職に就く人物を標的としていました。BECでは組織のCEOなどのエグゼクティブを詐称し依頼を行うなど、高い権限をもつ人物からの指示によるソーシャルエンジニアリングが一般的ですが、このケースでは逆でした。しかしながら、後の返信などの様子から考えると、この行動には特に意図はなく、攻撃者の偵察活動のレベルが低水準であっただけであると考えられます。

 またこのケースでは、最初のメールからギフトカードを要求されていましたが、金額については未記載でした。

On_Desk_.jpg

図1:攻撃者からのメール(その1)

 この時、タイミングよく攻撃者のメールを発見することができたため、実際の受信者に代わり、筆者が返信を行いました。その際に、返信時のメールアドレスで攻撃者に怪しまれないよう受信者の名前を参考にして取得したフリーメールのアカウントを利用しました。また、トラブルで業務メールにアクセスできないためフリーメールを利用していると説明し、いくら分のギフトカードが必要なのか、またなぜ必要なのかを尋ねました。

 このような形で返信した所、この攻撃者は、筆者の問いかけに応答してくれ、以下のメールを受け取ることが出来ました。

Re__On_Desk_.jpg

図2:攻撃者からのメール(その2)

 返信は、学会発表の為に1,800アメリカドル(20万円弱) 相当が必要というものでした。このやり取りを実施していた時、COVID-19によって様々な都市がロックダウンされている真っ只中でした。様々な攻撃者がCOVID-19による情勢の不安などを悪用したり、状況変化に合わせて騙すための口実を作っていましたが、この攻撃者はそれを実施していませんでした。また、請求金額は筆者が今まで確認した攻撃の中で一番安く、非常に低いものでした。これらの攻撃のシンプルさや請求金額の値段から考えるに、特に攻撃の成功確率を高める部分は追求せずに、とにかく多数の攻撃を行うことにフォーカスしていたのかもしれません。

 なお、このあと更に返信を試みてみました。返信メールでは、ギフトカードには一切触れず、「あの研究の成果を話すのですね(*1)」と、先の攻撃者のメール内容に合わせる形で送付してみましたが、残念ながら無視されました。BECの攻撃者は、素性がバレるのを恐れてなのか、テンプレートのような返信を多用し、金銭の要求以外の話には付き合ってくれないことが多い気がします。

 このように、実際に攻撃者とやりとりする調査方法ですが、必ずしも成功するとは限りません。受信から返信までに時間が経過してしまっていたり、返信で利用したメールアドレスがフリーメールの場合には攻撃者が警戒し、応答が得られないことがあります。また、このような調査方法は、有益ではありますが、攻撃によっては開封を把握するためのビーコンを仕込んでいるメールもあり注意が必要となります。同様の調査を行う際は、組織のネットワークなどから隔離された安全な環境で実施することを推奨します。

*1 詐称された弊社の社員は、特に研究などに関わっておらず、架空の内容を返信しています。

"惑星系"

 BECのメールサンプルが集まって来た頃、日本語で書かれたBECを発見しました。多くのメールが英語であるため、この攻撃には非常に興味を持ちました。そして、この攻撃者が、IPAの J-CSIP レポート(*2)に解説されているメールアドレスのローカルパート(@以前)に、惑星の名前(e.g. mercury etc)を含む送信者からの攻撃であることに気づきました。この様に惑星の名前を好んで使っていることから、弊社では"惑星系"と呼称し、分析や追跡を行いました。

*2 J-CSIPレポート(https://www.ipa.go.jp/files/000080133.pdf)

法律事務所との事業.png

図3:惑星系からのメール(日本語)

 まずは、弊社で観測している惑星系のメールサンプルを時系列に並べてみました。すると、以下図4にある通り、攻撃者が偽装していた送信者情報が前CEOから、現CEOへ変化したことを確認出来ました。実際に、2019年中旬に弊社のCEOが交代しており、その後この攻撃者が気づき、攻撃を調整したと思われます。また図中にも記載がありますが、遅くとも2019年10月から攻撃を受けており、攻撃が継続して行われていることがわかります。

図1.png
図4:惑星系による攻撃変化と継続性

帰属への挑戦

 サイバーセキュリティの世界では、攻撃者の動機、その標的、利用しているツール、インフラなどを用いて、攻撃者を特定する試みがあり、これを帰属といいます。惑星系の攻撃もまた同様に帰属出来ないかを考えてみました。そこで手始めに攻撃者の活動時間などを調査し、帰属を試みて見ました。まず、攻撃者の動時間などを分析する為に、メールの送信や返信時刻などを収集しました。また、攻撃者から請求書の類が入手出来た場合は、そのファイルのメタデータから日時を抽出しました。しかしながら、検体数も少量であることもあり、活動が集中している時間帯を見つけることが出来ませんでした。次に、J-CSIPレポートに記載のある攻撃者のメールアドレスのドメイン部に着目しました。そこから、ドメインの取得や更新時間を調査し、データの補足として利用しました。

 以下(図5)は、得られたデータをグラフ化したものです。タイムゾーンをUTCで設定した場合、攻撃者の活動のピークは、午前 7:00 に現れました。一般的な人間の活動を踏まえると少々早いピークのように思えました。また一般的にBECを含むインターネットを介在した詐欺は、アフリカ周辺国が発信元と考えられています。そのため、これらの国々が該当するUTC+1~+3 ぐらいのタイムゾーンに住在している人物ではないかと考えていました。

CL_UTC.png

図5:惑星系の活動時間(UTC)

 次に弊社で保持しているメールサンプルを分析しました。これらのサンプルのDate ヘッダに着目するとその多くが"UTC+3(MSK)"を保持していました。MSKは、モスクワ時間を示しており、少なくともロシアの時間帯で動作するコンピュータ上で、メールが生成されていたことがわかりました。
BEC-MSK-header.jpg

図6:惑星系からのメールに含まれる MSK時間

 このことから、アフリカの攻撃者に起因した攻撃の可能性という当初の考えを取り除き、活動時間をUTC+3に変更してみた結果が以下となります。夜は寝て日中時間に働くような、おおよそ人間的な活動を想像できる時間帯に当てはめることが出来ました。これらの状況から、筆者はこの攻撃はロシア住在の個人もしくはグループによる攻撃活動の可能性があると判断致しました。残念ながらこのとき、ロシア起因であることを明確にするような情報は見つけることが出来ませんでした。

BEC-Activity-UTC3.png

図7:惑星系の活動時間(UTC+3)

 この帰属の試みについては、7/3に開催した弊社イベントでお話させていただきました。その数日後、海外のセキュリティベンダーがCosmic LynxというBECの攻撃者についてレポートを発表しました(*3)。Cosmic Lynxのレポートでは、我々が惑星系と呼んでいるグループの攻撃の手段やメールアドレスの特徴などの一致が確認できており、同一グループであると考えられます。また、レポート内ではCosmic Lynxはロシアの攻撃者グループである旨記載されており、筆者の想定と一致しました。また、このレポートでは筆者が見つけた情報以上の分析がされており、ロシアの攻撃者の可能性の信頼性を高めていました。

*3 AGARI社によるCosmic Lynxのレポート(https://www.agari.com/insights/whitepapers/cosmic-lynx-threat-dossier-russian-bec/)

わりに

 簡単ではありますが、BECの分析について紹介させていただきました。BECは攻撃者にとっては、比較的安価な労働力で大きなリターンを得られるメリットの大きい市場となっています。日本を含め各国で逮捕者は出ているものの、その被害額の減少は見られておらず、むしろ増加しているように思えます。今後も継続して攻撃が行われると考えて良いと思います。
また、日本国内においても惑星系(Cosmic Lynx)以外からの攻撃も発生しています。これらの攻撃についても、現在調査を進めております。情報が集まったタイミングでまた執筆し、情報公開ができればと思っています。
 なお、本記事では割愛したBEC攻撃に関連した情報や対策などが収録されたセミナーが期間限定で公開されます。少しでもご興味がわきましたら、以下URLから登録いただき、視聴いただけますと幸いです。
また、伊藤忠商事様と共同で、「ビジネスメール詐欺の実態と対策アプローチ」というレポートも執筆しております。過去に観測されたBECを基に書かれたレポートとなっていますので、ご興味のある方は、こちらもぜひご確認ください。
  • Macnica Networks Day 2020のオンデマンドセッションの登録はこちら

  https://www.macnica.net/mnd/mnd2020/index.html/

  ※8/3 ~ 8/31 まで視聴可能となります。

      

  • 「ビジネスメール詐欺の実態と対策アプローチ」レポートはこち

  https://www.macnica.net/security/report_02.html/

この記事の筆者

勅使河原 猛

勅使河原 猛

Deception Technology 愛好家。セキュリティ全般の提案や講演などの実施の傍ら、最近は、ビジネスメール詐欺のリサーチを実施。 朝の日課は、コーヒーとセキュリティスタートアップの投資額を見てみてニヤニヤすること。
  • アーカイブ

前へ

ハニーマンション

次へ

MITRE Shieldについて