Open in app

Sign in

Write

Sign in

ビジネスメール詐欺を狙ったメールの分析

Kensuke Takahashi
MICIN Developers
Published in
Aug 3, 2022

MICINの情報セキュリティ部の高橋です。先日、MICINの複数の従業員宛にビジネスメール詐欺を狙ったとみられるメールが届いたので、そのメールを分析してみました。

実際に受信したメール

送信先メールアドレスと宛名は実際の形式をもとにしています

メールの内容は代表取締役を騙ってメールの返信を促すものであり、送信先メールアドレスには実際に使用されている従業員の私用のメールアドレスと、実際には使用されていない氏名から名先頭1文字+姓+MICINのドメインの形式で生成されたメールアドレスが指定されていました。なお、このメール内には添付ファイルやリンクなどは存在しませんでした。

このメールはビジネスメール詐欺(BEC)を狙ったものと見受けられ、この後のメッセージのやり取りの中で金銭送金の要求が発生するのではないかと予想されます。

ビジネスメール詐欺(BEC)とは

Business E-mail Compromise:BEC
巧妙な騙しの手口を駆使した、偽の電子 メールを組織・企業に送り付け、従業員を騙して送金取引に係る資金を詐取するといった、金銭的な被害をもたらすサイバー攻撃です。詐欺行為の準備として、企業内の従業員などの情報が狙われたり、情報を窃取するウイルスが悪用されることもあります。 BEC は、「ビジネスメール詐欺」以外にも、「ビジネス電子メール詐欺」や「外国送金詐欺」などとも呼ばれています。
ビジネスメール詐欺「BEC」に関する事例と注意喚起(IPA)より引用

IPAが発表している「情報セキュリティ10大脅威 2022」でも組織の脅威の8位にランクインしている、代表的なサイバー攻撃の手法です。

メール受信状況の調査

社内で他にも同様のメールを受信していないか調査したところ、合計5名が同様の内容のメールを受信していることを確認しました。送信元メールアドレスについては5名ともに共通していました。

送信元IPアドレスとメールアドレスの調査

メールヘッダを確認したところ、送信元のIPアドレスは「155[.]94[.]251[.]82」であり、Optimum社のメールサーバにメールを送信していました。インターネット上でabuse情報について確認しましたが、特に悪用されていた形跡は見つからず、過去に広く悪用されたIPアドレスではないようでした。

VirusTotalでのabuse情報の確認(不正との検知は0件)
AbuseIPDBでのabuse情報の確認(悪用の形跡なし)

続いて、メールアドレスに使用されているドメイン「optimum.net」について調査をすると、米国のプロバイダoptimum社が提供しているメールサービスで使用されているドメインということがわかりました。

optimum社のWebサイト

その一方で、トレンドマイクロ社が過去に公開したBEC攻撃に関するレポートの中にこのドメインが掲載されており、optimum社のメールサービスを悪用して、過去にもBEC攻撃が行われていることがわかりました。

電子メールサービスの特性を悪用する様々なビジネスメール詐欺の手口を解説(トレンドマイクロ社 — 2021/11/22)より引用

漏えいデータの調査

メールの内容から、氏名・私用のメールアドレス・所属企業の情報が攻撃者の手に渡っていると予測されます。なぜこれらのデータが漏えいしたのか原因を調査しました。

まずはメールアドレスの漏えい状況を確認するため、「Have I Been Pwned?」にてチェックを実施しました。

Aさん私用アドレスのチェック結果

私用アドレスの侵害数はいずれも1以上であり、過去何かしらの原因で漏えいしていることが確認できました。一方で、疑似社用アドレスの侵害数はいずれも0であり、過去に漏えいしたアドレスではなく氏名から生成されたものである可能性が高まる結果となりました。

メールアドレスが含まれている漏えいデータのデータセットの一覧を確認しましたが、5つのアドレスに共通しているデータセットは存在せず、複数のデータセットを組み合わせたリストを使用していると推測されます。

赤字の情報が今回使用されたメールアドレス・氏名・所属企業に繋がるもの

各データセットに含まれている情報を確認したところ、所属企業に繋がる情報については5名全員に含まれていませんでした。そのため、さらに別の情報をもとに企業情報の紐付けが行われていると推測されます。

そこで、所属企業の情報への繋がりを調査すべく、メール受信者5名のビジネス系SNSの登録状況を確認しました。

その結果、5名いずれもLinkedInまたはWantedlyの登録があり、インターネット上の公開情報を使用して氏名から所属企業を特定できる状態であることがわかりました。

まとめ

以上の調査より、攻撃者は下記の流れで情報収集からメール送信を実行したものと推測されます。

今回このメールは私用のメールアドレスで受信した従業員からの報告を受けて検知したものです。MICINでは定期的に標的型攻撃メールの訓練を実施していることもあり、インシデントに繋がる恐れのある事象を報告してもらう文化が醸成されていると感じました。また、MICINでは社内連絡はチャットツールを使用しており、メールでの社内連絡は疑うべしとしてセキュリティ教育を実施しています。一方で、ビジネス系SNSの利用にあたっては、このような攻撃に利用されるリスクを把握しておくことが重要であると周知しておく必要性を感じました。

これまでの従業員へのセキュリティ教育の効果を実感するとともに、今後の従業員へのセキュリティ教育へ役立てていく必要があるなとも感じた事案でした。

IOC

IPv4:155[.]94[.]251[.]82
Email:ejbjebduffy@optimum[.]net

Security

--

--

Kensuke Takahashi
MICIN Developers

Written by Kensuke Takahashi

2 Followers
Editor for

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams