会話ハイジャック
会話ハイジャック とは何ですか?
会話ハイジャック既に信頼関係のあるメールスレッドに悪意ある返信を割り込ませ、マルウェアや不正な指示を送り込むメール攻撃。
会話ハイジャックでは、攻撃者がまず資格情報窃取、アカウント乗っ取り、あるいは取引先の侵害によって対象メールボックスへ侵入します。既存のスレッドを読み、その中に返信することで、正当な送信者の信頼・件名・署名を引き継ぎます。注入されたメッセージにはマルウェア(Emotet は乗っ取ったスレッドから Trickbot を配布)、BEC で多い振込先変更指示、あるいは認証情報窃取リンクが含まれることがあります。返信は既存のやり取り内にあるため、被害者も従来型フィルタも警戒を緩めます。対策には DMARC、メールアカウントの MFA、返信パターンの異常検知、外部送信者バナー、支払い変更の帯域外確認が含まれます。
● 例
- 01
Emotet 2018-2021: 進行中のスレッドへの悪意ある返信で武器化された Office 文書を配布。
- 02
BEC アクターがサプライヤーのメールボックスを乗っ取り、スレッド途中で偽の銀行情報更新返信を挿入。
● よくある質問
会話ハイジャック とは何ですか?
既に信頼関係のあるメールスレッドに悪意ある返信を割り込ませ、マルウェアや不正な指示を送り込むメール攻撃。 サイバーセキュリティの 攻撃と脅威 カテゴリに属します。
会話ハイジャック とはどういう意味ですか?
既に信頼関係のあるメールスレッドに悪意ある返信を割り込ませ、マルウェアや不正な指示を送り込むメール攻撃。
会話ハイジャック はどのように機能しますか?
会話ハイジャックでは、攻撃者がまず資格情報窃取、アカウント乗っ取り、あるいは取引先の侵害によって対象メールボックスへ侵入します。既存のスレッドを読み、その中に返信することで、正当な送信者の信頼・件名・署名を引き継ぎます。注入されたメッセージにはマルウェア(Emotet は乗っ取ったスレッドから Trickbot を配布)、BEC で多い振込先変更指示、あるいは認証情報窃取リンクが含まれることがあります。返信は既存のやり取り内にあるため、被害者も従来型フィルタも警戒を緩めます。対策には DMARC、メールアカウントの MFA、返信パターンの異常検知、外部送信者バナー、支払い変更の帯域外確認が含まれます。
会話ハイジャック からどのように防御しますか?
会話ハイジャック に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
会話ハイジャック の別名は何ですか?
一般的な別名: メールスレッドハイジャック, リプライチェーン攻撃。
● 関連用語
- attacks№ 135
ビジネスメール詐欺
攻撃者が企業メールボックスを偽装または乗っ取り、従業員に送金、振込先変更、機密情報送付などを行わせる標的型詐欺。
- attacks№ 821
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
- attacks№ 140
コールバックフィッシング
無害に見えるメールで被害者に電話を掛けさせ、人手のオペレーターがマルウェアの導入まで誘導する 2 段階フィッシング。
- attacks№ 010
アカウント乗っ取り (ATO)
攻撃者が正規ユーザーのアカウントを不正に支配し、金銭・データの窃取やさらなる詐欺行為に利用する攻撃。
- attacks№ 1065
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
- attacks№ 375
メールスプーフィング
メールヘッダを偽造して信頼できる差出人から送られたように見せかけ、フィッシング・詐欺・マルウェア配布などに用いる手法。