メールセキュリティの脅威を撃退！顧客の受信トレイを守るための重要なヒント 2024

AIを活用したフィッシングやビジネスメール詐欺（BEC）攻撃は世界的に増加を続けており、近年その手口は飛躍的に巧妙化しています。フィッシングメールは正規のメッセージと区別がつかず、犯罪者はそれほど手間をかけなくてもパーソナライズされたコンテンツを作成し受信者を欺くためことができます。従業員やビジネスリーダーを悪質なコンテンツから守ることは難しく、この問題はフィッシング攻撃のターゲットとなりやすいコラボレーションツールで共有されるファイルやドキュメントにも及んでいます。

AIを活用したフィッシングやビジネスメール詐欺（BEC）攻撃は世界的に増加を続けており、近年その手口は飛躍的に巧妙化しています。フィッシングメールは正規のメッセージと区別がつかず、犯罪者はそれほど手間をかけなくてもパーソナライズされたコンテンツを作成し受信者を欺くためことができます。従業員やビジネスリーダーを悪質なコンテンツから守ることは難しく、この問題はフィッシング攻撃のターゲットとなりやすいコラボレーションツールで共有されるファイルやドキュメントにも及んでいます。

Perception Point社の最新レポートによると、攻撃の65％がOutlook、OneDrive、SharePoint、TeamsなどのMicrosoft 365アプリケーションを標的にしています。脅威の主体が一般的なビジネスアプリケーションに狙いを定めているため、電子メールを使った攻撃やコンテンツに誘導する脅威に対抗する上でヒューマンエラーのリスクを軽減することはさらに重要です。ほとんどの侵害はヒューマンエラーに起因するため、MSP（マネージドサービスプロバイダー）は高度な電子メール保護対策によって、電子メールの漏洩やコラボレーションアプリのフィッシングの原因となる人的要因を減らすことの重要性に注目しています。

電子メールセキュリティは、高度な脅威に対するプロアクティブな姿勢から、最新の保護機能として注目を集めています。これらのソリューションは、MSPのクライアントを完全に保護し、エンドユーザーレベルのリスクを最小限に抑えるためのものです。MSPでは、従来のセキュリティ意識のベストプラクティスと並行して、最新の電子メールセキュリティ技術のメリットを認識する必要があります。

Verizon Data Breach Investigationsのレポートによると、情報漏洩の68%に悪意のない人的要因が関与しているといいます。フィッシングやBEC攻撃は、最も悪名高い電子メール攻撃の犯人として長い間知られてきました。攻撃者はMSPが対応するよりも早く受信者の裏をかいています。MSPは、このような攻撃を防止し、阻止しなければならないという重圧にさらされていますが、そのためには複雑な課題があります。

サイバー犯罪者がAIを活用した電子メール攻撃に目を向けた主な理由は3つあります。最低限の投資、時間とスキルで攻撃が可能なのです。マルウェアの迅速な作成、カスタマイズされたフィッシングメールの作成、攻撃チェーンにおける活動の自動化など、サイバー犯罪者がAIを悪用するユースケースは無限にあります。サイバー犯罪者は、受信トレイに大量のメールを送りつけたり、悪意のあるメールをより巧妙に偽装したりするだけでなく、受信者や従来のメールセキュリティソリューションを回避するために、高度なフィッシング手法を使用しています。これにより、マルウェアをより深くファイルに埋め込み、従来型の電子メール保護をさらに回避することが可能になります。

サイバー攻撃者は、Microsoft 365やGoogle Workspaceなどのコラボレーションツールも悪用しています。この手のツールを使ったフィッシングでは、脅威者はこれらのサードパーティツールが一般的に安全でないことを認識しているため、生産性アプリ中心のセキュリティが欠如している企業を利用しています。これらは、Microsoft Outlook、Gmail、電子メールツール以外のIT環境を標的とするクロスチャネル攻撃です。データ量の多いファイルや文書を共有するために使用される重要なアプリケーションが悪用されています。感染した資産が従業員間で共有されると、関係者が不注意でマルウェアを拡散するため、攻撃者は少ないリソースでラテラルムーブメントを実行できます。

MSPと顧客ともにサイバー犯罪者が従来の電子メールセキュリティやフィッシングの認識技術をどのように回避しているかを真に理解することが、効果的な防御につながります。現在の攻撃の傾向を調べることで、MSPと企業は新たな敵対行為に対するセキュリティをより適切に調整することができます。

最新のフィッシング攻撃の1つであるStrelaStealerマルウェアは、アメリカとヨーロッパで100以上の組織に影響を与えました。この大規模攻撃はOutlookとThunderbirdのメールアカウント認証情報を標的としていました。これは前例のない攻撃であり、英語圏のユーザーを標的にした最初のStrelaStealerインシデントの1つでした。以前は、このマルウェアグループはスペイン語圏のユーザーの電子メールアカウントを標的としていたことで知られていました。今回の攻撃では、テクノロジー、金融、法律サービス、製造業、政府機関が被害を受けました。

StrelaStealerは、2022年の攻撃で使用された手法の他にも、電子メールアカウントの認証情報を盗むために様々な新しい戦術を採用しました。これらの以前の攻撃では、マルウェアの兆候として、「rundll32.exe」を呼び出してマルウェアのペイロードを実行するためにポリグロティズムを使用していました。悪意のある電子メールには、.lnk ショートカットと HTLML ファイルを含む .ISO ファイルが添付されていました。新たな試みとして、2024年の攻撃はZIPの添付ファイルを使用し、被害者のシステム上でJScriptファイルを攻撃しました。その後、StrelaStealer ペイロードを展開するための複数の複雑な手順が続きました。2年という短いスパンで、マルウェアは急速に変化しています。

別のサイバー攻撃では、ヒューレットパッカード（HPE）がロシアのランサムウェアグループMidnight Blizzardの標的になったことを明らかにしました。このグループはCozy Bear、APT 29、Nobeliumとしても知られています。同グループはHPEのクラウドメール環境に侵入し、HPE従業員の受信箱の一部からデータにアクセス、流出させました。現在進行中の調査の詳細はまだ明らかにされていませんが、これは企業における強固なセキュリティ対策を迂回する電子メールの脅威の新たな例であり、電子メールセキュリティの意識向上トレーニングの重要性を示しています。

しかし、今日の攻撃は電子メール環境に限定されるものではありません。今年、Microsoft 365、Twilio、Amazon Web Services (AWS)、SendGrid環境に対する一連の攻撃で、有名なアプリケーションがAndroxgh0stマルウェアの標的となりました。広く利用されているSaaSソリューションに対するこの脅威は、FBIと米国サイバーセキュリティ・インフラ・セキュリティ局（CISA）の注目を集め、これらの機関はすべてのユーザーに対して警告を発しました。これらの機関の関与は、クロスチャネルの脅威が全国のMSPと顧客にもたらす深刻さを示しています。

電子メール攻撃の基本はヒューマンエラーから始まります。いったん侵害されると、敵は認証情報を盗み出し、電子メールプラットフォームの脆弱性を悪用し、電子メールだけでなくコラボレーションアプリのファイルやドキュメントの共有によって感染する横の動きによって攻撃を拡大させます。クロスチャネル攻撃により、脅威者は他の生産性やコミュニケーションチャネルを利用して脅威を拡散させることで、被害範囲を拡大することができます。

これを受けて、サイバーセキュリティの分野では、受信者に届く前に脅威を検出して捕捉するスマートな電子メールや生産性向上アプリのセキュリティソリューションによって、このような攻撃に対する態勢を整えつつあり、MSPはこれらの最新技術を駆使して顧客のセキュリティを強化することに注力しています。

顧客の組織全体のメール環境を保護するには、技術、実務、社員教育など、あらゆる面での強化が必要です。 MSPは攻撃のリスクを適切に最小化するために、これら3つの重点分野の間でバランスを取る必要があります。電子メールを媒介とする脅威の最初の兆候は受信者レベルであってはならず、理想を言えば、MSPのクライアントに対するこのような攻撃を防ぐには、プロアクティブなセキュリティ対策が不可欠です。MSPがセキュリティ技術を利用して電子メールの脅威を先制的にキャッチできればできるほど、エンドユーザーが必要以上に神経を尖らせる必要はなくなるでしょう。MSPが保護を強化し、人的ミスをより効果的に軽減するために最適な包括的セキュリティ・テクノロジーには、動的コンテンツのスキャン、電子メールセキュリティソリューション、AIおよびMLベースのテクノロジー、コラボレーション・アプリケーション専用保護、フィッシング対策、エンドポイントセキュリティなどがあります。

これらのプロアクティブな対策は、組織に対する能動的な電子メール攻撃の防止や対策に有効であることが証明されています。特に、AIベースのフィッシング攻撃に対抗するには、多層セキュリティアプローチが不可欠です。例えば、アクロニスのCollaboration Application Security for Microsoft 365は、5つの保護レイヤーを利用してコンテンツベースの脅威に対抗します。

Acronis Cyber Protect Cloudは、AIベースの静的および行動ヒューリスティック検知を使用して、高度な脅威からエンドポイントを保護します。さらにAIにより複数のURL、ファイル、ドキュメント、さまざまな種類のコンテンツをスキャンしてマルウェアを検出するといった、ありふれたメールセキュリティのタスクを自動化するのに有効です。

高度化するサイバー脅威に対抗するための有効性を理解するためには、スマートEメールセキュリティソリューションの実際のシナリオを検証することが極めて重要です。MSPは、特にAcronis Cyber Protect Cloudのようなメールと生産性アプリケーションのセキュリティを利用している日常業務において、高度なセキュリティソリューションがもたらすメリットと価値を直接確認することができます。

Acronis Resource Centerで公開されているパートナーの成功事例で、Hawkins Technologiesのマネージングパートナーであるランディ・ホーキンス氏は、競合他社のソリューションからAcronis Advanced Email SecurityとPerception Pointに移行した体験を紹介しています。同氏は、競合コンソールの制限とタイムリーなサポートの欠如が、変更を必要とする原動力となったと述べています。また、競合他社のソリューションでは、悪意のある電子メールコンテンツが通過してしまう可能性がありました。アクロニスを使用するようになってからは、不審なコンテンツがフィルタリングされるようになり、MSPがサポートを必要とするときにアクロニスやPerception Pointと簡単に連携できるようになったと述べています。

Acronis Cyber Protect Cloudの差別化ポイントの1つは、統合された保護機能です。LAN Infotechの社長兼CEOであるマイケル・ゴールドスタイン氏が登場する別の導入事例では、MSP事業者がAdvanced Security + EDRとAdvanced Email Securityを併用した事例を紹介しています。ゴールドスタイン氏と彼のチームは、単一のコンソールと単一のソリューションから、クライアントのエンドポイントと電子メール環境を監視・管理しています。この利点により、LAN Infotech はセキュリティ効率を向上させ、プロホッケーチーム Florida Panthers との有益なパートナーシップを獲得しました。

これらの事例に基づき、MSPは顧客のセキュリティ戦略を改善し、スマートな電子メールとコラボレーションアプリのセキュリティ対策の必要性と重要性を裏付けることができます。また、これらの事例は、顧客とサービス・プロバイダーが同じ認識を持ちながら、セキュリティを構築し、将来を見据えて充実したインシデント対応計画（IRP）を策定するのに役立ちます。

今後、MSPはAIを利用したフィッシングの増加を予想することができます。攻撃者は、AIや自動化を活用して、より巧妙で説得力のあるフィッシング攻撃を仕掛けるなど、その手口を進化させ続けるでしょう。機械学習と行動検知はこうした脅威を検知し、軽減する上で重要な役割を果たすでしょう。さらに、リモートワークの増加や、電子メールへのアクセスにおけるモバイルデバイスの使用の増加は、新たな脆弱性や攻撃ベクトルをもたらす可能性があります。防御は、高度な脅威検知、暗号化、ユーザー行動分析を組み合わせた堅牢なメールセキュリティソリューションを導入することで適応する必要があります。また、新たな電子メールの脅威を認識し、効果的に対応できるようにするためには、継続的な教育と意識向上プログラムが不可欠です。

電子メールセキュリティの脅威は多面的で複雑であり、検知して阻止するのは困難です。人為的ミスは依然として侵害の主な原因となっています。クロスチャネル攻撃により、攻撃者は電子メールやコラボレーションアプリのファイル共有を通じてマルウェアを拡散し、IT環境に侵入します。ヒューマンエラーのリスクを軽減し、強固なセキュリティ対策を実施することは、このような進化するメールセキュリティの脅威に対抗する上で極めて重要です。

プロアクティブなセキュリティ対策は、進化する電子メールの脅威を先取りするMSPの最大の武器です。マネージド・インシデント・レスポンス・サービスは、MSPにとって収益性とコスト効率に優れたツールであり、プロアクティブなセキュリティソリューションの展開や調査の推進など、複雑なセキュリティ活動をアウトソーシングされたサイバーセキュリティの専門家が確実に処理します。

MSPには、リスクの軽減、最先端のセキュリティ技術の採用、サイバー脅威の一歩先を行くベストプラクティスの遵守の重要性を顧客に伝えるプレッシャーがかかっているのです。