自動電子メール受信トレイ ルールは、ほとんどの電子メール プログラムでおなじみの便利な機能です。 これらを使用すると、電子メールを特定のフォルダーに移動したり、不在時に同僚に転送したり、自動的に削除したりできるため、受信トレイと毎日大量に送られる希望メッセージと不要メッセージの管理に役立ちます。
ただし、アカウントが侵害されると、攻撃者は受信トレイ ルールを悪用してさらなる攻撃を隠すことができます。たとえば、転送を介してネットワークから情報を密かに引き出し、被害者にセキュリティ警告が表示されないようにし、特定のメッセージを削除します。
主な攻撃ベクトルとしての電子メール
電子メールのセキュリティは進化し、機械学習の使用により、不審な受信トレイ ルール作成の検出が容易になりましたが、攻撃者は引き続きこの手法をうまく利用しています。 これにはアカウントの侵害が必要であるため、この脅威の全体的な数は低いと考えられますが、組織のデータと資産の整合性に対して依然として深刻な脅威をもたらします。特に、攻撃者によるルール作成は手法であるため、侵害が発生します。すでにネットワーク上に存在しており、早急な対策が必要です。
電子メールベースの攻撃は成功率が高く、他の多くのサイバー攻撃の一般的な侵入口となります。 バラクーダの調査によると、調査対象となった世界中の企業の 75% が 2022 年に少なくとも XNUMX 件の電子メール セキュリティ侵害を経験しました。 これらの攻撃は、単純なフィッシング攻撃や悪意のあるリンクや添付ファイルから、ビジネス電子メール侵害 (BEC)、会話ハイジャック、アカウント乗っ取りなどの高度なソーシャル エンジニアリング手法まで多岐にわたります。 最も高度なタイプの一部は、悪意のある電子メール ルールに関連付けられています。
自動メールルール
悪意のある電子メール ルールを作成するには、攻撃者がフィッシング電子メールを成功させるか、以前の侵害で取得した盗まれた認証情報を使用するなどして、ターゲット アカウントを侵害する必要があります。 攻撃者が被害者の電子メール アカウントの制御を取得すると、XNUMX つ以上の自動電子メール ルールを設定できます。
攻撃者は、「支払い」、「請求書」、「機密」などの機密性が高く、利益をもたらす可能性のあるキーワードを含むすべての電子メールを外部アドレスに転送するルールを設定できます。 さらに、メール ルールを悪用して、特定の受信メールをめったに使用しないフォルダーに移動したり、メールを既読としてマークしたり、単に削除したりすることで、特定の受信メールを非表示にすることもできます。 たとえば、セキュリティ警告、コマンド アンド コントロール メッセージ、侵害されたアカウントから送信された内部スピア フィッシング メールへの返信を非表示にしたり、同時に使用されているアカウントを使用する可能性があるアカウント所有者からその痕跡を隠蔽したりするためです。侵入者のことも知らずに。 さらに、攻撃者は電子メール転送ルールを悪用して、被害者の活動を監視し、さらなる攻撃や作戦に使用するために被害者または被害者の組織に関する情報を収集することもできます。
BEC (ビジネスメール侵害) 攻撃
BEC 攻撃では、サイバー犯罪者は、会社とその従業員、顧客、またはパートナーを欺くために、電子メールが正当なユーザーからのものであると被害者に信じ込ませようとします。 たとえば、攻撃者は、特定の従業員や最高財務責任者 (CFO) などのマネージャーからのすべての受信メールを削除するルールを設定できます。 これにより、犯罪者は CFO になりすまして従業員に偽の電子メールを送信し、攻撃者が管理する銀行口座に会社の資金を送金するよう説得することが可能になります。
2020 年 XNUMX 月、FBI は、サイバー犯罪者が Web ベースとデスクトップの電子メール クライアント間の同期とセキュリティの可視性の欠如をどのように悪用して電子メール ルーティング ルールを設定し、BEC 攻撃が成功する可能性を高めているかに関する報告書を発表しました。
国家電子メール攻撃
悪意のある電子メール ルールは、国家を標的とした攻撃にも使用されます。 MITRE ATT&CK® Framework of Adversary Tactics and Techniques は、悪意のある電子メール転送技術 (T1114.003) を使用する XNUMX つの APT (Advanced Persistent Threat Group) に名前を付けています。 これらは、国家サイバースパイ脅威グループである Kimsuky、恐喝と妨害攻撃で知られる LAPSUS$、そして知的財産や研究の盗難に関連する別の国民国家グループである Silent Librarian です。
MITRE は、電子メール隠蔽ルール (T1564.008) をセキュリティ防御を回避するために使用される手法として分類しています。 この手法を使用することが知られている APT の 4 つは FINXNUMX です。これは金銭目的の攻撃者であり、被害者のアカウントに「ハッキング」、「フィッシング」、「マルウェア」などの単語を含む電子メールを自動的に削除するルールを作成し、被害者の IT アクセスを阻止する可能性があります。チームが従業員や他の人に自分たちの活動について知らせないようにします。
効果のないセキュリティ対策
悪意のあるルールが検出されない場合、被害者のパスワードが変更されたり、多要素認証が有効になったり、その他の厳格な条件付きアクセス ポリシーが実装されたり、コンピュータが完全に再構築されたりしても、そのルールは有効のままになります。 ルールが有効である限り、有効であり続けます。
疑わしい電子メール ルールは攻撃の良い兆候である可能性がありますが、これらのルールを単独で見るだけでは、アカウントが侵害されたことを示す十分な兆候ではありません。 したがって、防御側は複数のシグナルを使用して無関係な情報を減らし、電子メール攻撃が成功する可能性があることをセキュリティ チームに警告する必要があります。 攻撃者による高度な戦術の使用など、サイバー攻撃の動的かつ進化する性質には、検出と対応に対して多層的なアプローチが必要です。
効果的な防御策
受信トレイ ルールの作成は侵害後の手法であるため、最も効果的な保護は予防、つまり攻撃者によるアカウントのハイジャックを最初から防ぐことです。 ただし、組織には、侵害されたアカウントを特定し、これらの攻撃の影響を軽減するための効果的なインシデントの検出と対応策も必要です。 これには、各従業員の受信トレイで行われたすべてのアクション、作成されたルール、変更またはアクセスされた内容、ユーザーのログイン履歴、送信された電子メールの時間、場所、コンテキストなどが完全に可視化されます。 高度な AI ベースの電子メール セキュリティ ソリューションは、このデータを使用して各ユーザーのインテリジェントなアカウント プロファイルを作成し、どんなに小さな異常でも即座にフラグを立てます。 ID 盗難防止では、ログイン資格情報、電子メール データ、統計モデルなどの複数のシグナルとルールを使用して、アカウント乗っ取り攻撃を検出します。
最後に、拡張検出および対応 (XDR) とセキュリティ オペレーション センター (SOC) による 24 時間年中無休の監視により、深く隠蔽され難読化されたアクティビティも確実に検出して無力化することができます。 受信トレイルールの悪用は、サイバー犯罪者が使用する最も悪質な戦術の 7 つです。 ただし、上記の対策を講じれば、企業はこの脅威から適切に身を守り、機密データと資産を保護できます。
詳細は Barracuda.com をご覧ください
バラクーダネットワークスについて バラクーダは、世界をより安全な場所にするために努力しており、すべての企業が、購入、展開、使用が簡単なクラウド対応の企業規模のセキュリティ ソリューションにアクセスできる必要があると考えています。 バラクーダは、カスタマー ジャーニーに沿って成長し適応する革新的なソリューションで、電子メール、ネットワーク、データ、およびアプリケーションを保護します。 世界中の 150.000 を超える企業がバラクーダを信頼しており、ビジネスの成長に集中することができます。 詳細については、www.barracuda.com をご覧ください。