情報セキュリティの選りすぐりの技術と信頼を届けます
SIPSセキュリティレポート 2021年9月3日号
***************************************************************
メールアカウントの不正アクセス
なりすましメールで悪性サイトに誘導の事例増加
***************************************************************
8月の不正アクセス事故で多かった事例の一つに「メールアカウントの不正アクセスによる迷惑メール
送信」の事例が挙げられる。
そもそもメールアドレスはインターネット上で往来する個人情報の一つであり、ネット上に無造作に記載
されているケースも多くみられる。
企業などでは問合せを受け付けるメールアドレスとしてホームページに記載しているメールアドレスもあり
普段はそのメールアドレスを受付用として利用するケースが多い。
ではこのようなメールアドレスが流出、悪用されたら、どのような事が起こるか考えてみる。
メールアドレスは、組織と個人を組み合わせる情報で@の前に個人もしくは組織を特定する情報が
表記され、@以降にはメールドメイン、いわゆる組織を表す情報が記載されている。
もちろん個人を表す個人名はニックネームや独自の表記でも構わないが、メールの受信者には
どこの誰から送られたものであるかが判り、知人からのメールであればその人を意識してメールを見る。
逆に知らない人からのメールは警戒することも出来る。
サイバー攻撃者はこれを逆手に利用するのである。
メールアカウントを乗っ取りAさんになりすましてメールを送れば、メールを受け取った本人はAさんから
来たメールと思い本文を読み、反応してしまうという事である。
一般的に多いのはフィッシング詐欺である。メールの中にはURLが記載されていて、知人からのメール
を信じてURLをクリックすると、そのサイトには個人情報や機密情報を記載させるように言葉巧みに
誘導する内容が記載されている。疑心暗鬼にならなければ情報を記載して更新する。
このURLが悪性サイトで巧みに誘導して個人情報や機密情報が抜き取られる仕組みになっている。
フィッシングメールで多いのはクレジット会社や銀行からのメールを偽装し、あたかも企業からのメールの
ような内容で悪性サイトに誘導し言葉巧みに情報を引き出す手法である。
しかしこれまではメールアドレスを見ると、その企業のドメインとは違うアドレスからのメールが多かった。
このような企業を偽装したフィッシングメールは、今でも頻繁に送られてくるが、最近は攻撃者の手法
も少し変わり、メールドメインを見ても疑う余地もない企業ドメインを使うメールも多くなった。
特定企業や組織の個人に成りすましてメールを送る手法である。
これはメールアカウントをハッキングして、メールアカウントの本人であるかのようにメールを送りつける。
ネットのニュースサイトで見ると、メールアカウントが不正アクセスされ迷惑メールが大量送信されたと
いう記事を頻繁に見かける。
特定の企業や団体のドメインを使い成りすますメールは、フリーメールなどからのメールと違い、受け
取った側はある意味「何だろう?」と信用してしまう。攻撃者はこれを狙うのである。
実際にメールアカウントの不正アクセス事故は頻繁にニュースになっていて、不正アクセスされたメール
アカウントからは、1回に数十万件、数百万件の不正な迷惑メールを送信されていることもある。
8月に発生した一般財団法人沿岸技術研究センターの職員のメールアカウントの不正アクセスでは
海外向けにドイツ語で荷物の再配達の問い合わせを装って海外のWebサイトへ誘導する内容で
あったという。メールアカウントをハッキングして本人になりすましメールを送っている。
しかし当センターは5月にも同様の事故があり、再度事故が起きないように職員のメールアカウントの
パスワードを変更しているというのであるが、再び同様の事故が発生してしまった。
これは、メールアカウントだけではなくメールサーバがハッキングされていて、メールアドレスとパスワードが
対になって流出している可能性があると考えられる。
攻撃者はメールサーバの管理者権限を取得していれば、個々のメールアドレスのパスワードが変更
されたとしても、管理者権限で確認することができる。
メールサーバがハッキングされれば、どこからでもこのメールサーバのドメインを使うメールアカウントを利用
して任意の人にメールを送信できてしまうのである。
SIPSの情報収集によると、8月は日本のメールアカウントの売買情報が20件確認されていて、この
1件に存在するメールアカウント数は数百から数万件存在していた。
これら売買されているメールアカウントは、全てパスワードがセットになっているので、場所を選ばず
そのメールアカウントを利用出来ることになる。
そしてメールに記載した悪性サイトのURLに誘導し、攻撃者は様々な情報を入手する。
米国のセキュリティ会社の調査では、フィッシングが成功する確率は37%もあったとしているから驚き
である。
もちろんメールの内容や送り先などによってこの確率は変わると考えられるが、約3割が成功すると
すれば、成りすましメールを1万件送れば3000人の情報が得られる計算になる。
そして、入手する情報がクレジットカード情報であれば、そのクレジットカードの名義者になりすまし、
ネットで不正利用が可能になる。またクレジットカード情報は闇サイトでは高額で売買されるので
再度その情報を闇サイトで売れば十分収益が出るという事になる。
メールではないが、フィッシング詐欺という意味ではこんなケースも確認された。
配布する紙のチラシに悪性サイトに誘導する2次元バーコードが記載されているというものである。
2次元バーコードだけを見てもURLは分からない。
パーコードを読み取るときにURLが表示されるが、明らかに不穏でなければアクセスしてしまうだろう。
敵ながら天晴れという感じである。
不正アクセスと言うと、目に見えないハッカーが攻撃してきてサーバやPCに侵入し情報を盗み取って
いくというイメージがあるが、最近はフィッシングのように悪性サイトに誘導し情報を書き込ませる手法
が多くなってきている。
これは攻撃者にとっても高い技術で大企業のサーバをハッキングするのと違い、時間もかからずリスクが
低く、確実に情報を得られる手段の一つだからとも言えるだろう。
メールアカウントだけではない、SNSなども同様でアカウントがハッキングされ不正利用されれば同じ
ような事故が発生する。
メールアカウントの流出は、直接大きな被害になることは少ないが、それによって様々なサイバー犯罪
が繰り返されているという事を理解しておかなければならない。
自分のメールアカウントが不正利用され、任意の第三者に迷惑をかけないためにも、アカウントの管理
は慎重にしなければならない。
---------------------------------------------------------------------------------
<参考URL>
ScanNetSecurity
:2021/9/1
沿岸技術研究センター職員のメールへ不正アクセス、5月に続き再び
https://scan.netsecurity.ne.jp/article/2021/09/01/46223.html
Security NEXT:2021/8/31
教員アカウントがスパム送信の踏み台に -
九州歯科大
https://www.security-next.com/129329
北國新聞:2021/8/19
不審メール620件送信 EIZO、削除を呼び掛け 社員アカウント不正利用され
https://www.hokkoku.co.jp/articles/-/501512
Security
NEXT:2021/8/31
都食品安全啓発チラシの二次元コード、不正サイト誘導のおそれ
https://www.security-next.com/129444
Copyright (C) 2014 SouthPlume Co.,Ltd. All Rights Reserved