2015年7月27日以前の記事
検索
連載

CFOや財務幹部を狙う「高度なフィッシング攻撃」が拡大中 その巧妙な手口

世界中の銀行、投資会社、エネルギー関連企業、保険会社のCFOや財務幹部を狙った「高度に標的化された」スピアフィッシング攻撃が確認された――サイバーセキュリティ企業の米Trellixが発表した最新レポートで警告している。

Share
Tweet
LINE
Hatena
CFO Dive

 世界中の銀行、投資会社、エネルギー関連企業、保険会社のCFOや財務幹部を狙った「高度に標的化された」スピアフィッシング攻撃が確認された――サイバーセキュリティ企業の米Trellixが発表した最新レポートで警告している。

 報告によれば、攻撃に使用されている悪意のあるメールには、ハッカーが被害者のコンピューターにリモートアクセスできるインストーラーが仕込まれている。一度感染すると、攻撃者は正規のアカウントにアクセスできるようになり、ファイルの不正取得や不正送金が可能になる。しかも、正規の権限を悪用することで、通常のセキュリティチェックをすり抜ける可能性も高いという。

CFOがフィッシング攻撃の対象に──どう防ぐ?

 この種の攻撃は、企業の財務システムや資産管理体制に深刻なリスクをもたらすため、経営層や財務部門におけるサイバーセキュリティ意識の強化が喫緊の課題とされている。

photo
CFOを狙った攻撃が増えている(提供:ゲッティイメージズ)

 Trellixが確認した今回のスピアフィッシング攻撃は、標的の重要性と攻撃手法の巧妙さの両面で特筆に値する。

 とりわけ注目されているのが、「NetBird」というリモートアクセスツールの悪用である。これは正規のアプリケーションのように見えるため、ユーザーやセキュリティソフトに不審がられにくく、攻撃者が検知を回避する目的で頻繁に用いられる手口である。

 Trellixの脅威リサーチ部門でシニアマネジャーを務めるスリニ・シーサパシ氏は、レポートの中で次のように指摘している。

 「近年、攻撃者はこうしたリモートアクセスアプリケーションに依存する傾向を強めており、被害者のネットワーク内に長期間潜伏し、侵害を拡大するための足掛かりとして利用している」

 Trellixによれば、今回確認されたスピアフィッシング、NetBirdのインストール、そして複数段階にわたる攻撃手法の組み合わせは、サイバー攻撃者の手口が常に進化し、洗練され続けているという重要な警鐘である。

 Trellixの脅威リサーチ部門シニアマネージャー、スリニ・シーサパシ氏はレポートで次のように述べている。

 「今回の攻撃は、ありふれたフィッシング詐欺ではありません。巧妙に設計され、特定の標的に向けて緻密に構築されており、セキュリティ技術や人間の注意力を巧みにすり抜けるよう仕組まれているのです。これはソーシャルエンジニアリング(心理的な誘導)や防御回避技術を用いて、被害者のシステムに対する持続的なアクセス権を確保・維持するための多段階型攻撃なのです」

 攻撃者がCFOなどの財務幹部を狙ったこと自体も、非常に重要な意味を持つ。Trellixはレポートの中で、今回のスピアフィッシングメールは、標的企業の財務部門に所属するCFOおよび役員クラスの社員に直接送信されていたと明らかにしている。

 財務幹部は、企業の決済システムや資金移動の権限を持つため、金銭目的のハッカーにとって極めて魅力的な標的である。

 仮に攻撃者が、財務部門の一般社員または中堅レベルの社員を装ったとしても、その社員の上司が不審に思えば、資金の引き出しや送金などの不正行為は阻止される可能性が高い。

 しかし、攻撃者がCFOや他の財務役員を装うことができれば、不正が発覚しにくくなると、研究者たちは指摘している。

 つまり、攻撃の成功率と被害規模を最大化するために、ハッカーは意図的に最も高い権限を持つ人物を狙っているという点に、企業は重大な警戒を払う必要がある。

 リモートアクセスの自由度と幹部レベルの権限が組み合わさることで、侵入が成功した場合の影響は極めて深刻なものとなる――Trellixの脅威リサーチ部門シニアマネジャー、スリニ・シーサパシ氏は、こうした警告をレポートに記している。

 「NetBirdのようなリモートアクセスツールを通じて、攻撃者が永続的なアクセス権を確立・維持することに成功すれば、その潜在的な影響は甚大です」とシーサパシ氏は述べている。

 Trellixのレポートによれば現在のところ、米国企業は標的になっていない。被害が確認されている地域は、ヨーロッパ、アフリカ、カナダ、中東、南アジアに及ぶ。

 しかし同社は、脅威グループが特定地域で攻撃を“試運転”した後、他地域へと展開するのは珍しくないと指摘しており、米国の金融系企業のCFOや財務幹部が今後標的に加えられる可能性は十分にあると警鐘を鳴らしている。

 Trellixは今回の攻撃を仕掛けた特定の攻撃者グループについては明言を避けているものの、使用されていたインフラの一部が「別の国家支援型スピアフィッシング攻撃と少なくとも一部重複している」ことを確認したと報告している。これにより、背後に国家関与が疑われる高度な脅威アクターが存在する可能性も示唆されている。

 このような攻撃の被害を防ぐために、TrellixはCFOに対して、以下の対策を強く推奨している。

  • 予期しないリ求人・採用関連メールには特に慎重に対応する。特に、添付ファイルがある場合は要注意
  • セキュリティ警告を無視したり、回避したりしない
  • 少しでも不審なメッセージを受け取った場合は、速やかに社内のセキュリティチームに報告する

 企業においては、経営幹部向けのサイバーセキュリティ教育やフィッシング対応訓練の強化に加え、受信メールのスキャン体制やリアルタイムでの振る舞い検知機能の整備も急務といえる。特にCFOのような高権限アカウントを狙う標的型攻撃(APT)に対しては、技術・プロセス・教育の三位一体での対策が求められている。

© Industry Dive. All rights reserved.

ページトップに戻る