マイナビニュースマイナビ

ビジネスメール詐欺に備えてメールの転送を見直そう

【連載】

AzureとOffice 365のセキュリティ、MS ゆりか先生が教えます

【第27回】ビジネスメール詐欺に備えてメールの転送を見直そう

[2021/02/18 09:00]垣内由梨香 ブックマーク ブックマーク

よく知られたサービスを装ったメールやSMSを送り、ユーザーID/パスワードなどの資格情報やクレジットカードなどの金融情報を入力させるフィッシング攻撃。企業組織を狙うフィッシングでは、このような種類のほかにも、取引先や自社の経営者層などになりすました「ビジネスメール詐欺(BEC:Business Email Compromise)」の被害が報告されています。ビジネスメール詐欺では、被害者のビジネスの状況やよく利用している文面が、フィッシングメールの文面に利用されていることなどから、フィッシングであることに気が付きにくい、という特徴があります。

典型的なビジネスメール詐欺の流れ

典型的なビジネスメール詐欺の例では、攻撃者はまず、フィッシング攻撃などによって最初のターゲットとなるユーザーのメールサービスにログオンするための資格情報(ユーザーID、パスワードなど)を入手します。資格情報を入手したら、そのターゲットのメールサービスにログインして情報を収集し、「どのような相手とどのようなやり取りをしているのか」「よく使う言葉や言い回し」「ビジネスの予定や出張の予定」「ビジネス上の送金のやりとり」などを分析します。

情報の収集/分析が終わると、そのユーザーになりすまし、ユーザーがメールのやり取りをしている相手に、フィッシングメールを送ります。その際のメールは、事前に分析した内容を踏まえているため、メールを受信した相手は不信感を抱きにくく、フィッシングメールだと気が付くことは難しい内容になっています。例えば、「定期的なやりとりを行っている経理担当者から、以前のやりとりと同じ文面で、口座変更のお知らせや支払い請求が自然なタイミングで送られてきたため、気づかずに攻撃者の口座に送金してしまった」というケースが報告されています。

ビジネスメール詐欺

このように、攻撃者は、ビジネスメール詐欺の成功率を高めるために、最初のターゲットとなるユーザーのメールサービスにログオンした後、一定期間メールの内容をモニタリングして情報を収集します。このとき、メールをモニタリングするために、ターゲットのユーザーに届くメールを攻撃者自身のメールアドレスへ転送しているケースが多く報告されています。

攻撃者にとっては、一度ターゲットのメールサービスにログインして設定すれば、以降はサービスにログオンしなくても転送したメールで攻撃の準備をできるため、発覚の機会が減るというメリットがあります。転送設定をされてしまうユーザー側は、メールの転送を設定されても気が付きにくいため、被害を察知しづらいのです。

とはいえ、メールの転送設定は業務上の必要があって利用していることもあるでしょう。セキュリティ侵害の発生を恐れて一概に全て禁止するのではなく、「転送設定は、誰がどの項目で設定できるのか」「転送設定に関してどのようなコントロールができるのか」を理解し、自組織における設定の状況を把握してコントロールすることが重要です。それにより、業務効率を阻害することなくリスクを低減し、また、万が一、ユーザーのメールアカウントに不正ログオンがあった場合などは、素早く転送の設定を確認/対処することで、被害を最小限に抑えることができます。

メールの転送設定箇所は複数アリ

メールの転送は、ユーザーのメールクライアント側、管理者側などいくつかの場所で設定できます。まず、メールの転送の設定はどこでできるのか整理してみましょう。「Microsoft 365 Exchange Online」や「Outlook」、「Outlook Web Access (OWA)」を利用している場合は、次の場所で設定可能です。

  • ユーザーの設定:メールボックスのルール(Outlook/OWA)
    ユーザーは、受信するメールを処理するルールを作成することができ、そのルールで受信するメールは別のメールアドレスに転送できます(「ファイル」→「自動応答」→「ルール」にある「転送」)。
  • ユーザーの設定:「自動応答」機能
    ユーザーは、不在時などに、受信するメールに自動で返答したり、メールを転送したりすることができます。
  • ユーザーの設定:「Power Automate(旧称:Microsoft Flow)」を利用したメールの転送
    ユーザーがPower Automateと自身のメールを連携し、自動的な処理を行うことができます。
  • Exchange管理ポータル:メールフロー設定 (ForwardingAddress)
    Exchange管理センターの、「メールフロー設定」から、それぞれのユーザーの転送が設定できます。この設定は「ForwardingAddress」のプロパティ値に反映されます。
  • M365 管理ポータル:メールフロー設定(ForwardingSmtpAddress)
    M365管理ポータルの、「メールフロー設定」から、それぞれのユーザーの転送が設定できます。この設定は「ForwardingSmtpAddress」のプロパティ値に反映されます。ただし、「ForwardingAddress」が設定されている場合は、その値が表示されます。

メールの転送を管理者が制御する方法

一方、組織の管理者には、組織のユーザーのメール転送を禁止するなど、メールの転送を制御する方法がいくつか用意されています。

◆Office 365 セキュリティ/コンプライアンスセンター:メールのフィルター処理
「Office 365 セキュリティ/コンプライアンスセンター」の「メールのフィルター処理」に関するポリシーによって、自組織から組織外に送信されるメールの処理を制御できます。既定で設定されている「送信迷惑メール フィルター ポリシー」では、転送は「自動 - システム制御」となっています。この場合は、Office 365が設定するシステム既定値に従うことになります。

なお、現在は、システム既定値は「転送」が有効ですが、今後、より安全な既定値を推奨するために、自動転送を無効にするよう既定値を変更する予定です。各組織で、この自動転送の必要性のあるユーザーを確認し、必要なユーザーのみ、許可するポリシーを設定することを推奨しています。

スパム対策

◆Exchange管理センター:メールフローの設定(リモートドメイン)
この設定では、「ForwardingSmtpAddress parameter」に該当する値を設定することで、Outlookを利用したメール転送ルールと、不在通知を制御できます。ただし、ほかの設定で実施された設定(ForwardingAddress parameter)は制御できません。また、転送が拒否された場合、単にメール転送が行われないだけとなり、ユーザーへのNDRなどは返らないため、ユーザーが知ることができません。

リモートドメイン

◆Exchange管理センター:メールフローの設定(トランスポート ルール)
Exchange管理センターのメールフローでは、トランスポートルールを設定することで、メールの転送を制御することもできます。この設定では、条件を指定して転送の可否を設定でき、ユーザーへのNDR通知を行うことも可能です。

しかしながら、ここで指定する条件は、OWAやExchange管理者が設定する転送で用いられているメッセージクラス(IPM.note.forward)をベースにした制御であり、OWAやExchange管理者が設定する転送で利用される通常のメッセージクラス(IPM.Note)ではありません。そのため、OWAやExchange管理者が設定する転送の制御を行うことはできません。

トランスポートルール

◆OWA:転送設定項目を表示しない
OWAでの転送の設定は、「Role Based Access Control(RBAC)」で、転送の設定をそもそも表示させないように設定できます。そのため、ユーザーがOWAで転送を設定しようとしても設定できない、という状態にすることが可能です。ただ、これはあくまでもOWAでの設定項目の制御なので、デスクトップ版のOutlookでの転送設定は制御できません。また、すでに組織内で設定が行われている場合は、この設定をしても転送を無効にすることはできません。

転送の設定箇所と制御まとめ

それぞれの設定/制御機能には、利点と同時に考慮すべき点もあります。各組織で必要な要件も異なるので、「これがベストだ」という方法はありません。自組織の要件を確認し、適切なコントロールを組み合わせて管理することを推奨します。例えば、同時に転送許可と拒否の設定がされているような場合は、拒否するようにしたほうがよいでしょう。

転送可否のコントロール設定

メールの自動転送の設定箇所と、転送可否のコントロール設定(◯:転送制御可能/△:一部可能/☓:不可能)

アラートで不審な挙動の確認を

組織でメールの転送を許可している場合は、転送状況を監視し、不審な挙動がないかをモニタリングすることで、万が一被害にあった際に早く気が付くことができます。

Office 365 セキュリティ/コンプライアンスの「メール フロー ダッシュボード」では、組織のユーザーによって転送されたメールの状況を確認できます。転送されたメールの総数や転送先ドメインなど、転送されたメールの状況を分析した結果が表示され、組織の全体的な状況の把握に役立ちます。

また、Office 365 セキュリティ/コンプライアンスの「アラートポリシー」では、不審なメールの転送に関するアクティビティを通知するアラート設定が用意されています。このアラートでは、ユーザーが組織外の宛先へメールの転送を設定したことを検出し、管理者にメールで通知します。この通知を受け取った管理者は、転送を設定したユーザー自身が設定したものか、不正ログオンの被害を受けていないかを確認することで、組織への侵害を早期に発見し対処することができます。

アラートポリシー アラート通知

「Suspicious Email Forwarding Activity」ポリシー

転送設定が行われたことを示すアラート通知

メール転送以外のよくある兆候

攻撃者はターゲットとなるユーザーのメールを調査しているときや、なりすましメールを送信する際、できるだけユーザーに気づかれないように慎重に進めています。しかしながら、ユーザー自身が、例えば以下のような不審な様子に気付く場合もあります。

  • 消した覚えのないメールが消えている、フォルダ移動している
  • 受信したメールが、これまでやりとりした覚えのない内容に基づいた内容や文面になっている
  • 作成した覚えのない受信メールに対する処理ルールが設定されている(メールの転送、フォルダの移動など)
  • 送信した覚えのないメールが送信済みトレイにある
  • 名前、電話番号、郵便番号などのめったに変更されないプロフィールが更新される

このような兆候が見られた場合の報告先をユーザーに周知しておくのも、被害の早期発見に役立ちます。また、もし、ユーザーのメールアカウントが侵害されている場合は、利用アカウントをリセットしたり、転送やメール振り分けのルールなどを削除したりといった、被害の拡大を防止する措置をとる必要があります。

* * *

今回は、ビジネスメール詐欺において攻撃者が多用する手口の一つであるメールの転送に着目し、見直すべきポイントなどについて解説しました。組織内でメール転送の設定を把握/管理しておらず、セキュリティ管理やフィッシング対策の「盲点」となっているケースが散見されます。

本連載の第19回第24回で解説したフィッシング対策と合わせて、メール環境の健全化の一環として、今一度確認してみてください。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

エンカレッジ・テクノロジが次世代型特権ID管理ソフトを発表

エンカレッジ・テクノロジが次世代型特権ID管理ソフトを発表

エンカレッジ・テクノロジは2月9日、記者会見を開き、社内外のセキュリティリスクからシステムを守る特権ID管理ソフトウェアの次世代型製品「ESS AdminONE(イーエスエスアドミンワン)」を3月上旬から販売を開始すると発表した。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で TECH+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
Slackで始める新しいオフィス様式
Google Workspaceをビジネスで活用する
ニューノーマル時代のオウンドメディア戦略
ミッションステートメント
次世代YouTubeクリエイターの成長戦略
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る