経営幹部のOffice 365アカウントを狙う詐欺キャンペーン「Water Nue」

2020年3月以降、経営幹部のOffice 365アカウントの詐取を起点としたビジネスメール詐欺(BEC)が継続的に確認されています。標的型のフィッシングメール(スピアフィッシングメール)の手口を使った最近の攻撃では、米国とカナダの管理職クラスが狙われており、これまでに世界中の企業1,000社以上のアカウントが影響を受けたと考えられます。トレンドマイクロは、このサイバー犯罪者グループを「Water Nue(ウォーターヌエ)」と名付けました。Water Nueは最初に金融業界の経営幹部が持つアカウントの認証情報を狙い、フィッシングメールによって偽のOffice 365ログインページに誘導します。認証情報の詐取に成功し、経営幹部アカウントの乗っ取りに成功すると、偽の銀行情報が含まれる請求書を添付した送金指示メールを部下の従業員に送信し、金銭を騙し取ります。

図1:Water NueによるOffice 365のログイン画面を模倣したフィッシングサイトの例

■「Water Nueを追跡

Water Nueは、複数の理由から、興味深いサイバー犯罪者グループと言えます。世界中の経営幹部を標的にしておきながら、バックドア型やトロイの木馬その他のマルウェアは使わず、ごく簡単なフィッシングの手法のみを用います。一方で、パブリッククラウドのサービスをフィッシング攻撃のインフラとして利用していました。パブリッククラウド自体にフィッシングサイトなどを設置することによって、不正な活動は見つかりにくくなります。このように正規のサービスを利用する手法は、サイバー犯罪者の間でより一般的になってきています。

トレンドマイクロはまず、相当数の電子メールドメインが攻撃に利用されていることに気づきました。そして、詐欺メールの受信者のほとんどが企業内の、特に財務部門で高い地位を持つ従業員であることを発見しました。弊社で確認した初期の事例のうちの一つは、アフリカのある銀行の上級財務担当者が、香港の銀行口座を明記した請求書PDFを自身の同僚に送信する内容の詐欺メールでした。詐欺メールは、攻撃者が利用するフィッシングサイトの1つとして記録されたIPアドレスから送信されていました。

この攻撃キャンペーンは2020年8月時点で進行中です。Water Nueは自身が使用するドメイン名がシステムで報告対象となるか、あるいはブラックリストに登録されると、新しいインフラストラクチャに切り替えて攻撃を続けます。

Water Nueの攻撃キャンペーン

攻撃者は「SendGrid」などのクラウドベースのメール配信サービスを使用して、偽のOffice 365のページに誘導するためのリンクが埋め込まれたフィッシングメールを送信します。なお、トレンドマイクロは、既にSendGridに連絡し、調査の結果を共有しています。

標的とされたユーザが騙されてログインを試みると、単純なPHPスクリプトによって認証情報が記録されます。

図2:Water Nueの攻撃シナリオ

図3:記録された認証情報の例

これらの手法は新しいものではありませんが攻撃は成功しており、2020年8月6日時点において経営幹部ユーザのものと思われる800以上もの認証情報が収集されていました。

■どのようにアカウントが狙われるか

トレンドマイクロが調査した事例からWater Nue の攻撃手法を説明します。2020年7月、ある経営幹部ユーザに送信されたメールをトレンドマイクロで調査したところ、ベースとなるドメインURLはU10450540[.]ct[.]sendgrid[.]net、最終ページURLは*getting-panes[.]sfo2*であることが確認できました。「sendgrid.net」自体は上述のように正規のメール配信サービスのドメインであり、不正なものではありません。

図4:送信者偽装のため、メールヘッダの「from」フィールドに設定された
「New York」の文字と「Swiftme @ {会社を偽装したドメイン名}」形式の文字列の例

送信元メールアドレス情報(From:)には、「Swiftme」という文字のあと、偽造された会社メールドメインを持つアカウント名が続いています。メールで表示される差出人(From:)と件名(subject:)は、ボイスメールサービスの偽装を意図したものと言えます。また「SWIFT」には銀行間送金の意味があり 「Swiftme」は電子送金または電信送金を承諾させる文字列の可能性があります。つまり、これらのメールアカウントは認証情報が収集された後、金銭詐取の段階で利用することを目的としたものと考えられます。

図5:フィッシングメール例

メール配信サービス「SendGrid」では元々、メール送信に使用されたメールソフトの識別情報を表す「X-Mailer」ヘッダを使用しません。しかし、興味深いことに調査したメールのヘッダ情報にはX-Mailer情報が含まれていました。これは、スキャンエンジンを混乱させるためのツールを利用してサイバー犯罪者が追加した可能性があります。以下のリストはトレンドマイクロが調査した詐欺メールで使用されていたX-Mailer情報の一部です。

X-Mailer: Mozilla/5.0 (Windows; U; Win98; de-AT; rv
X-Mailer: Claws Mail 3.7.6 (GTK+ 2.22.0; x86_64-pc-linux-gnu)
X-Mailer: Mozilla 4.7 [en]C-CCK-MCD NSCPCD47 (Win98; I)
X-Mailer: iPhone Mail (8A293)
X-Mailer: Opera7.22/Win32 M2 build 3221
X-Mailer: ZuckMail [version 1.00]
X-Mailer: CommuniGate Pro WebUser v5.3.2

Water Nueが利用する、テストあるいは導入を目的としたシステムの送信元IPアドレスは、収集した認証情報用のフィッシングサイトのサーバ内にテキストファイルとして残されていました。

図6:サイトマップ

図7:ランディングページ「index.html」はダミーのスピーチ機能を備えている

図8:主要なコレクション関数はapp.jsに存在するが、
コマンド&コントロール(C&C)の場所はJavaScriptコードに埋め込まれている

図9:jQueryメソッドを使用して、ターゲットの認証情報をホスティングサイトに送付する

フィッシングサイトには、サイト訪問者が入力したパスワードが記録されます。窃取した認証情報でアカウントへのログインに成功すると、攻撃者は経営幹部になりすまします。次に、攻撃者の口座へ送金させるための虚偽の電信送金リクエストを送信します。

トレンドマイクロは、同じIPから送信されたBECメールのサンプルを確認しました。請求書が添付されたメールには、正規の電子メールヘッダが利用されていました。これは、BECでよく利用される既知の手口です。

図10:同じ送信元IPを持つ電子メールのサンプル

図11:BECメールに添付された偽の請求書PDFのサンプル

BECやフィッシング詐欺の被害に遭わないためには

他のサイバー犯罪の手口とは異なり、BECフィッシング詐欺の場合、特定のメール受信者を標的とすることから、検出が困難な場合があります。攻撃者は、電子メールアカウントを侵害して、業務に関連する財務情報や、その他の機密情報にアクセスします。

メールを経由した詐欺の被害に遭わないためのヒントを以下に紹介します。

  • 従業員への教育および訓練:情報セキュリティに関する教育によって、攻撃者による企業への侵入を防ぐ。一般従業員から最高経営責任者(CEO)まで、すべての従業員がさまざまな詐欺の手口や、遭遇した場合の対処方法(機密情報を扱う従業員間で相互にダブルチェックを行うなど)について学ぶ
  • 他の方法を用いた検証の実施:機密情報を扱う従業員は検証システム(こまめにサインオフする、プロトコル検証を追加するなど)に従い、十分注意を払う
  • すべてのメールの精査:疑わしい送信者、ドメイン名、内容、「緊急要件」といった不審なコンテンツを含むイレギュラーなメールに注意する

今回解説したケースでは、攻撃者からの電子メール自体には、典型的な添付ファイルを利用したマルウェアは含まれていませんでした。従来のセキュリティ対策製品では、このような攻撃からユーザのアカウントとシステムを保護することができません。ユーザは、メールセキュリティ対策製品で送信者「sendgrid[.]net」からのメール検査を有効にすることで対処することが可能です。

トレンドマイクロの対

Trend Micro Cloud App Security™ 」と「Trend Micro Email Security™」に含まれる技術「ソーシャルエンジニアリング攻撃からの保護」は、機械学習を利用してメールメッセージ内のソーシャルエンジニアリング攻撃に関連する疑わしい動作を検出し、また、ビジネスメール詐欺関連マルウェアを検出します。

トレンドマイクロは多層防御でお客さまをビジネスメール詐欺の脅威から守ります。特にビジネスメール詐欺の対抗策として、AI技術でメール作成者の癖を分析することで、なりすましメールを防ぐ新技術「Writing Style DNA 」を採用しています。この技術はAIの学習結果と受信メールと照合してなりすましメールを検知し、ビジネスメール詐欺の疑いがある場合、受信者や管理者に警告付きメールを送付して被害を阻止します。さらに世界中の法執行機関と協働し、ビジネスメール詐欺へのセキュリティ意識向上も優先事項に位置付けています。

 侵入の痕跡(Indicators of CompromiseIoC

今回の記事に関する侵入の痕跡はこちらを参照してください。

参考記事:

翻訳: 室賀 美和(Core Technology Marketing, Trend Micro™ Research)