高まるサプライチェーン攻撃のリスク、なりすましメール対策で対処を
マイナビニュース / 2024年6月21日 10時15分
例えば、普段の業務で利用しているPCやスマートフォンなどのハードウェアに悪意ある部品を仕込まれる「ハードウェアサプライチェーン攻撃」は検知も対応も難しく、国の安全保障にも影響を及ぼしかねないと指摘されています。
また、業務やシステム管理に利用するアプリケーションやソフトウェア、さらにはそこに組み込まれているオープンソースソフトウェア(OSS)やライブラリなどにバックドアなどを組み込んで悪用する「ソフトウェアサプライチェーン攻撃」も、SolarWindsをはじめ多数の攻撃例が報告されています。
ほかにも、運用管理サービスなどを提供するマネージドサービスを提供する企業を侵害して多くの企業に影響を与える「サービスサプライチェーン攻撃」が発生しているなど、最近ではVPNアプライアンスの脆弱性を突いて取引のためのネットワークやメンテナンス用回線越し侵害するケースなど、さまざまなレベルで侵害が起こっています。
これを受け、非常に広い裾野のサプライチェーンを持つ自動車業界をはじめ、サプライチェーンセキュリティ強化に向けて独自のセキュリティガイドラインを定める動きも始まっています。
ビジネス上のつながりを悪用して多大な被害を引き起こすメール詐欺
こうしたサプライチェーン攻撃において、ビジネス上のつながりを悪用した攻撃、いわばビジネスサプライチェーン攻撃で最も頻繁に用いられる手段が「メール」です。
メールはサイバー攻撃全般でも悪用されてきましたが、特にサプライチェーン攻撃では、「普段やりとりしている会社」「見知った名前」をかたることで受信者をだまし、添付ファイルに仕込んだマルウェアを実行させたり、悪意あるサイトに誘導したりする手法として用いられてきました。いわゆる「フィッシングメール」「なりすましメール」です。
数年前に国内でも猛威を振るった「Emotet」は、サプライチェーンのつながりを用いたフィッシングメールの典型例でしょう。感染するとメールの内容やアドレスなどを盗み取り、メールスレッドへの返信形式を装って本来のやりとりの中に割り込むことで相手に不審を抱かせず、多くの企業に感染を広げていきました。
また、Emotetのようにマルウェアや脆弱性を悪用せずに被害をもたらす手法もあります。それが「ビジネスメール詐欺」(BEC)やメールアカウントを乗っ取る「メールアカウント侵害」(EAC)です。
これらの詐欺では、ダークウェブで流通している認証情報を流用したり、マルウェアなど何らかの手段でメールアカウントを乗っ取ったりして、サプライチェーンの中でのやりとり、例えば調達や支払いに関するメールのやりとりを盗み見ます。その上で相手になりすましてしばらくやりとりを重ね、信頼を得た段階で「振込先の口座が変更になりました」といった話で被害者をだまして多額の金銭を盗み取るのです。ビジネスサプライチェーンに相乗りしているという意味で、これも広義のサプライチェーン攻撃に含まれると言っていいでしょう。
この記事に関連するニュース
-
Amazonをかたるフィッシング詐欺が急増、アドレス大量漏洩の可能性
マイナビニュース / 2024年6月26日 8時51分
-
メールの信頼性を高めるメール認証規格「BIMI」導入案内ページ公開のお知らせ
PR TIMES / 2024年6月13日 13時45分
-
ユミルリンク、株式会社サイバービジョンホスティングとの協業によりDMARCやBIMIの導入・運用支援サービスを提供開始
PR TIMES / 2024年6月6日 12時45分
-
ユミルリンク、DMARCやBIMIの導入・運用支援サービス開始‐ なりすましを防止
マイナビニュース / 2024年6月6日 10時58分
-
サイバービジョンホスティング、ユミルリンク株式会社との協業により DMARCやBIMIの導入・運用支援サービスを提供開始
@Press / 2024年6月6日 10時30分
ランキング
-
1別人級メイクの達人がすっぴんからパーティーメイクすると…… 驚きの大変貌に「めちゃめちゃビジュがいい!」「これはまさしく詐欺」
ねとらぼ / 2024年6月29日 19時30分
-
2iPhoneでも使うべし!Google系便利アプリ5選|iPhoneでGoogle
&GP / 2024年6月29日 22時0分
-
3オックスフォード大学ご訪問の天皇陛下、“ネクタイの柄”に注目集まる
ねとらぼ / 2024年6月29日 15時9分
-
42億画素カメラと120W充電対応で6万円以下! さらに高コスパ化したシャオミ「Redmi Note 13 Pro+ 5G」
ASCII.jp / 2024年6月29日 12時0分
-
5華やかな“Copilot+ PC”売り場、でも「それ、Arm版Windowsですよね?」 “分かっている人があえて選ぶPC”が一般層に猛プッシュされている不安
ITmedia PC USER / 2024年6月26日 12時25分
複数ページをまたぐ記事です
記事の最終ページでミッション達成してください