Barracuda Networksは9月20日(米国時間)、「Threat Spotlight: How attackers use inbox rules to evade detection after compromise」において、電子メールの受信トレイルールがサイバー攻撃者に悪用されているとして、注意を呼び掛けた。攻撃者は企業のシステムに侵入した後、標的の従業員の受信トレイルールを改ざんして情報の窃取や、上司になりすました攻撃を行うという。

  • Threat Spotlight: How attackers use inbox rules to evade detection after compromise

    Threat Spotlight: How attackers use inbox rules to evade detection after compromise

一般的に、サイバー攻撃者が企業システムへ侵入することは目的はなく、手段に過ぎない。攻撃者はシステムに侵入して情報を窃取、改ざんして脅迫することで利益を得る。そのためにランサムウェアなどのマルウェアが利用されている。ソーシャルエンジニアリングに必要な情報を得るために侵入が行われることもある。得られた情報を駆使して経理担当者を騙し、送金させるなどの攻撃も行われる。

今回指摘されている受信トレイルールの改ざんは、そのどちらにもつながるサイバー攻撃と言える。ルールを改ざんしてメールを攻撃者に転送させることで、企業内のさまざまな情報を窃取することができる。そのような情報から経理担当者を見つけることができれば、攻撃者にとって朗報となる。経理担当者の受信トレイルールを改ざんして上司からのメールを破棄させることで、上司になりすまして送金させることが可能となる。

Barracuda Networksはこの脅威に対して、機能しない防御と機能する防御があると指摘している。機能しない防御は、電子メールアカウントに強力なパスワードを設定したり、多要素認証(MFA: Multi-Factor Authentication)を設定したりする行為だ。これらは受信トレイルールの改ざんには何も影響がなく、対策を行っても改ざんされたルールは動作し続けるため意味がないという。

機能する防御として最も効果的なものは、システムへの侵入およびアカウントの侵害を初めから防ぐことだ。この受信トレイルールの改ざんは、システムに侵入された場合のみ起こり得るためとされている。ただし、侵入後の侵害されたアカウントの検出は、影響の軽減およびその後のインシデント対応に必要だともしており、侵害された場合の対策も同時に行うよう推奨している。

Barracuda Networksは侵入後の侵害されたアカウントを検出するには、受信トレイで行われたアクション、作成されたルール、変更またはアクセスされた内容、ユーザのログオン履歴、送信された電子メールの時間と場所、コンテキストなどを完全に可視化する必要があると説明している。