セキュリティー企業の米Mandiant(マンディアント)は2022年5月初め、企業の業務メールを盗む新たなサイバー攻撃が相次いで確認されているとして注意を呼びかけた。
特徴は滞留期間の長さ。少なくとも18カ月間、攻撃対象の企業に気づかれることなくメールを盗み続けたという。一体、どのような手口なのだろうか。
攻撃者の平均滞留期間は21日
攻撃者のターゲットは業務でやりとりされるメールだ。特に経営陣や企業間取引に関与する従業員がやりとりするメールを狙う。
「時代遅れ」といわれることが多いメールだが、依然重要なコミュニケーションツールである。業務メールのメッセージとその添付ファイルの一部には、金銭的価値の高い機密情報が含まれる。
業務メールを盗む目的は機密情報の窃取だけではない。取引相手になりすまして金銭を振り込ませるビジネスメール詐欺(BEC:Business Email Compromise)を目的にしている可能性もある。
またマンディアントによれば、オンプレミスであろうとクラウドであろうと、ほとんどのメールシステムは、メールにアクセスするためのAPI(アプリケーション・プログラミング・インターフェース)を提供している。このAPIを経由すればメールに容易にアクセスできるという。このため企業の業務メールは攻撃者にとって格好の標的といえる。
とはいえ、多くの企業はサイバー攻撃に対する守りを固めている。攻撃者の侵入を許したとしても、長期間滞留されてメールを盗まれ続けるような事態になれば、大概の場合は検知できるだろう。
マンディアントは毎年、1年間のサイバー攻撃の動向をまとめたリポートを公表している。2021年の動向をまとめたリポートによると、企業ネットワークに侵入した攻撃者の平均滞留期間は21日。言い方を変えれば、平均21日で検知されたということだ。
一方、同社が今回警告した手口の最長の滞留期間は18カ月。いかに長いかが分かる。
ネットワーク機器にバックドアを仕込む
長い滞留期間を実現するポイントの1つは、被害企業にアクセスするためのマルウエア(バックドア)をネットワーク機器などに仕込むことだ。
ほとんどの企業は、ウイルス対策ソフトやEDR(エンドポイント検知・対応)といったセキュリティーソフトをパソコンやサーバーにインストールしている。このためバックドアを仕込もうとすると検知される可能性が高い。
また仕込んだ当初は検知されなくても、セキュリティーソフトのアップデートにより検知されるようになることもある。
