全1876文字
PR

 セキュリティー企業の米マンディアントは2022年5月初め、企業の業務メールを盗む新たなサイバー攻撃が相次いで確認されているとして注意を呼びかけた。特徴は滞留期間の長さ。少なくとも18カ月間、攻撃対象の企業に気づかれることなくメールを盗み続けたという。

攻撃者の平均滞留期間は21日

 攻撃者のターゲットは業務でやりとりされるメールだ。特に経営陣や企業間取引に関与する従業員のメールを狙う。時代遅れといわれることが多いメールだが、依然重要なコミュニケーションツールである。業務メールのメッセージとその添付ファイルの一部には、金銭的価値の高い機密情報が含まれる。

 業務メールを盗む目的は機密情報の窃取だけではない。取引相手になりすまして金銭を振り込ませるビジネスメール詐欺(BEC)を目的にしている可能性もある。

 とはいえ、多くの企業はサイバー攻撃に対する守りを固めている。侵入を許したとしても、長期間滞留されてメールを盗まれ続けるような事態になれば、大概の場合は検知できるだろう。マンディアントは毎年、1年間のサイバー攻撃の動向をまとめたリポートを公表している。2021年の動向をまとめたリポートによると、企業ネットワークに侵入した攻撃者の平均滞留期間は21日。平均21日で検知されたということだ。一方、同社が今回警告した手口の最長の滞留期間は18カ月。いかに長いかが分かる。

 長い滞留期間を実現するポイントの1つは、被害企業にアクセスするためのマルウエア(バックドア)をネットワーク機器などに仕込むことだ(図1)。攻撃者は、セキュリティーソフトが対応していない機器などにバックドアを仕込み、継続的にネットワークに侵入できるようにする。具体的には、ストレージや負荷分散装置、無線LANアクセスポイントなどが対象になるという。

図1●ネットワーク機器を乗っ取ってメールを盗む
図1●ネットワーク機器を乗っ取ってメールを盗む
攻撃者はネットワーク機器などにマルウエアを感染させて、そのマルウエアにメールを盗ませる。また、インターネットに接続された脆弱なIoT機器を踏み台にして、社内ネットワークのマルウエアに命令を送ったり、盗んだメールを取得したりする。
[画像のクリックで拡大表示]

 とはいえ容易なことではない。ネットワーク機器が使用しているOS(ファームウエア)は様々だからだ。どのような機器を使っているのか事前に調査し、その機器で動作するようにバックドアをカスタマイズする必要がある。

 マンディアントも調査リポートの中で、「こういった機器のOSで動作する高機能なマルウエアをつくるには入念な準備が必要だ」とコメントしている。

 被害企業の機器を首尾よく乗っ取ったとしても、攻撃者は直接アクセスしない。インターネットからアクセス可能な外部のIoT機器を乗っ取り、そこを経由してアクセスする。攻撃者のアクセス元がばれないようにするためだ。

 攻撃者はインターネットに公開されているネットワークカメラなどに脆弱性を突くなどして侵入し、バックドアのサーバーとなるマルウエアを仕込む。このマルウエアとバックドアの通信は、攻撃を検知されにくくするためにSSHで暗号化する。