サイバー脅威
2022年年間のメール脅威の概況を解説
メールはマルウェアの配布やビジネスメール詐欺(BEC)など依然としてサイバー犯罪者による攻撃手段の一つとして頻繁に悪用されています。 本稿では、Trend Micro Cloud App Security™によって検出された3,990万以上の高リスクなメール脅威をもとに、2022年の顕著なメール脅威の傾向について解説します。
トレンドマイクロでは、毎年、Trend Micro Cloud App SecurityTM(以下、CAS)の年間データに基づいて、年間のメール関連脅威の概要をまとめたレポートを公開しています。2022年には、顧客からのフィードバックに基づいて790億件以上のメール(前年比14%増)をスキャンし、処理しました。スキャンされたメールを含め、3900万件以上が高リスクのメールが検出され、顧客の保護のためにブロックされました。これらのスキャン結果を詳しく確認することで、攻撃者が現在どのような種類の不正なメールを送信しているのかを理解する手がかりを得ることができます。実際に、トレンドマイクロは2022年に合計1460億以上の脅威をブロックし、その55%がメール関連のものでした。このように、メールは依然としてユーザーを狙う上で最大の攻撃経路となっています。
今回特筆すべきデータポイントは、既知のマルウェアおよび未知のマルウェアがそれぞれ添付ファイルに使用されていた点です。既知のマルウェアは簡単に検出できるため、このタイプの添付ファイルを使用したメールは32%減少しました。一方、未知のマルウェアは新たに作成された「ゼロデイマルウェア」と呼ばれるものであり、検出および防御が難しくなることがあります。未知のマルウェアを添付したメールは46%増加しました。無論、未知のファイルも解析により不正であると判断されると、即座にブロックされます。2022年、CASは4,263,650件のマルウェア(不正ファイル)を検出し、ブロックしました。これは前年比で29%の増加です。そのうち未知のマルウェアファイルの件数は3,757,812件で、前年比で46%増加していました。
この傾向は、さまざまな攻撃で確認されており、攻撃者は自身の攻撃をカスタマイズし、以前には見られなかった完全に新しいコンポーネントを開発しています。そのため、新たな脅威が初めて確認される時点で、既に新たな攻撃が展開されている可能性があります。ただし、これらは再利用される可能性が低いと考えられます。従来のセキュリティ対策は、複数のベンダーのソリューションを使用することにより、こうした場合でも検出可能であることを保証することを目指してきましたが、現実は変化しています。未知の脅威を検出できるか、または少なくとも何らかの不審な兆候を迅速に特定できるソリューションが必要となっています。
ランサムウェアの添付ファイルにおいても顕著な減少が見られました。これは、ランサムウェア攻撃においてさまざまなコンポーネントが駆使されるため、ランサムウェア自体の展開が最終段階になることが多くなったためと考えられます。以前は、初期侵入時にランサムウェア感染が起こり、感染した端末上で脅迫状などが表示されることがありました。しかし、2022年にはこのような添付ファイルによる感染が前年比で42%減少しました。
ビジネスメール詐欺(BEC)は、米連邦捜査局(FBI)によってランサムウェアよりも深刻な脅威と見なされています。BECによる損失額は数十億ドルに上り、ランサムウェアによる被害額をはるかに上回っています。トレンドマイクロのデータによれば、攻撃者によるBECの使用増加が確認され、BECは前年比で35%増加しました。BECは、不正なリンクや添付ファイルが含まれていないため、不正かどうかを識別するのが難しい特徴があります。BECでは、ソーシャルエンジニアリングを駆使したメッセージなどを通じて従業員に送金や銀行振込を依頼することで行われます。これらの従業員は通常、そのような業務を日常的に行っているため、BECの検出は困難です。しかし、下図に示すような特徴から、BECを検出することは不可能ではありません。
トレンドマイクロでは、「Writing Style DNA」という新しいAIベースの技術を開発しました。この技術は、従業員がメール内でどのような文体で書かれているかを分析します。数百のメールを分析した後、攻撃者が詐欺的なBECタイプのメールを作成した場合、不審なメールの送信者と受信者に警告し、対策を講じることができるようになります。
未知の脅威が展開されるもう1つの重要な領域は、クレデンシャルフィッシング攻撃です。未知のフィッシング攻撃は大幅に増加しているわけではありませんが、全体的なフィッシング攻撃を見ると、このタイプが主要な割合を占めています。
クレデンシャル情報の窃取は、攻撃者がますます利用し始めている手法です。現在のBEC攻撃では、クレデンシャル情報の窃取によって取得されたメールアカウントからの攻撃が増加しています。このタイプの脅威は、多くの攻撃で引き続き使用されていることが確認されています。例えば、偽のログイン要求などは、依然としてメール内の不正なリンクを介して被害者のOffice 365アカウントの認証情報を入手するために使用されています。この場合、標的とされるのは企業や組織の経営陣、財務担当者、人事担当者などが多くなっています。
こうした状況の中、トレンドマイクロが開発した「Computer Vision」という技術は朗報と言えるでしょう。これは画像分析と機械学習(ML)を組み合わせたもので、ブランドの要素、ログインフォーム、その他のサイトコンテンツをチェックし、メール内のクレデンシャルフィッシングに関連するメールやURLを検出します。
標準的なフィッシングメール攻撃は、現在でも従業員を標的にして、特定のコンピューターやネットワーク全体へのアクセスを狙う効果的な攻撃手法となっています。2022年、トレンドマイクロは2200万件以上のフィッシングメールをブロックし、これは前年比で229%の増加を示しています。
また、トレンドマイクロが確認したその他のメール関連の脅威では、Covid-19を利用したソーシャルエンジニアリングや、暗号資産、NFTを狙ったメールの使用は減少しています。
これらさまざまなメール関連の脅威に対処するためには、メッセージングセキュリティソリューションを見直し、ご利用のセキュリティベンダーを監査して、メールが十分に保護されているかを確認することをお勧めします。これには、外部から内部へのメール、内部のメール、内部から外部へのメール、社内ネットワーク内のメールなど、さまざまな領域でのメールに配慮する必要があります。これらはすべて攻撃者によって悪用される可能性のあるアタックサーフェスとなり得ます。Writing Style DNAやComputer Visionのような先進的な検出技術の使用は、メッセージの分析に関与する多層的な技術とともに、適切なセキュリティ体制を実現する上で欠かせないソリューションの一部であるべきです。
トレンドマイクロの「2022年年間メール脅威レポート」からさらなる詳細をご確認ください。
参考記事:
Inside the 2022 Email Cyber Threat Landscape
By: Jon Clay
翻訳:与那城 務(Core Technology Marketing, Trend Micro™ Research)