Email Defenses Under Siege: Phishing Attacks Dramatically Improve
2022/10/08 DarkReading — 今週は、サイバー攻撃者たちが 仕掛ける攻撃が、Microsoft のデフォルト・セキュリティを回避しているというレポートがあり、また、セキュリティ専門家たちは、フィッシングの手口が驚くほど進化していることを明らかにした。 脅威アクターたちが用いるテクニックには、ゼロポイント・フォントの難読化/クラウド・メッセージング・サービスへの混入/ペイロード起動の遅延などがあり、メール・プラットフォーム防御の弱点をついて、フィッシング攻撃を狡猾に行っている。また、被害者の調査/選定の頻度も上がっている。
10月6日に Check Point Software が発表した調査結果によると、2022年にはフィッシング・メールの 18.8% が、Microsoft プラットフォーム防御を回避して従業員の受信トレイに着弾し、その割合は 2020年と比較して 74% 増加しているとのことだ。攻撃者たちは、Sender Policy Framework (SPF) などのセキュリティ・チェックの回避や、ゼロサイズ・フォントの使用、悪意の URL の隠蔽といった、電子メール・コンポーネントの難読化に関するテクニックを多用している。
2021年8月に Check Point が買収した、メール・セキュリティ企業 Avanan の VP of Email Security である Gil Friedrich は、「攻撃者の能力が高まっているのは、現在の防御策に対する理解が進んでいるためだ。10~20種類のテクニックが混在しているが、いずれも企業のセキュリティ層を欺くという目的につながるものだ。最終的には、常に受信者には本物に見えるが、コンテンツを分析するアルゴリズムでは違って見える電子メールになる」と述べている。
Microsoft は、Check Point の研究成果に対するコメントを拒否した。しかし、同社は、カスタム URL を用いて被害者と加害者の間にプロキシ・サーバを設置し、ユーザー名/パスワードといった機密データを不正に取得する、AiTM (adversary-in-the-middle phishing ) などの高度な技術について警告している。7月に Check Point は、1回の AiTM キャンペーンで、10,000件以上の組織が標的にされたと警告している。
フィッシング攻撃の巧妙化に対して警告を発しているベンダーは、Check Point だけではない。メール・セキュリティ企業の Proofpoint が実施した調査では、83% の組織がメールを使ったフィッシング攻撃に侵害され、2020年の約 50%から情報していることが判明した。
サイバー・セキュリティ企業 Trend Micro の 2022 Mid-year Cybersecurity によると、2022年上半期のフィッシング攻撃の件数は、2021年の同時期と比較して137%増とりう、2倍以上のレベルに増加している。
その一方で、Phishing-as-a-Service や malware-as-a-Service といった、最も成功した手法を使いやすい形でカプセル化する、サイバー犯罪者向けのサービスも提供されている。侵入テスト担当者およびレッドチームを対象とした調査では、最も投資対効果の高い攻撃手法として、フィッシングとソーシャル・エンジニアリングを挙げる者が 49% に達した。
調査と偵察に基づくフィッシング
サイバー攻撃者たちは、ソーシャル・エンジニアリングを介して、被害者を狙うための情報収集に注力し、その攻撃手法も改善している。Trend Micro の VP of Threat Intelligence である Jon Clay は、「サイバー攻撃者たちは、オンラインで取得できる膨大な情報を活用している。彼らは、オープンソースの情報を用いて被害者を調査し、被害者に関する多くの情報を入手する。そして、きわめてリアルなフィッシング・メールを作成し、URL をクリックさせ、添付ファイルを開かせというふうに、あたかも BEC 攻撃のようにメールで指示して実行させていく」と述べている。
一連のデータから示唆されるのは、攻撃者たちが防御技術を分析し、その限界を見極める能力に長けていることだ。たとえば、悪意の URL を検知するシステムを回避するために、サイバー犯罪者たちは、午前2時にメールを送信したときには正規のサイトに見えても、作業員がメッセージを開いた午前8時には別のサイトを表示するような、動的な Web サイトを使用し始めている。
防御力の向上
このような技術は、単に騙すことを狙うだけではない、防御と攻撃の非対称性を利用したものである。Check Point の Gil Friedrich は、「電子メールで送信された全 URL をスキャンすることは、拡張性のある防御方法ではないと述べている。たとえば URL を完全なサンドボックスで実行し、特定の深さへのリンクを分析し、画像処理によりブランドを模倣しようとする Web サイトを特定するには、膨大な計算能力が必要だ」と述べている。
さらに同社は、「したがって、この問題に取り組むために、”click-time” 分析を導入している。すべての URL に対して実行することが不可能な、アルゴリズムやテストが存在する。しかし、クリック時にテストを行うのであれば、ユーザーが実際にクリックした URL に対してのみテストを行えばよい。それならば、電子メールに含まれるリンクの 1% 程度に過ぎない」とつけ加えている。
さらに、ルールベースのシステムでは不可能だったアルゴリズムであっても、機械学習や人工知能を用いることで実現し、不正な URL やファイルを分類するための防御策も増えていると、Trend Micro の Jon Clay は述べている。
彼は、「武器化した添付ファイルへの対処だが、依然としてシグネチャのみに依存している。これらのマルウェア・ファイルの検出効率を上げるための、機械学習やサンドボックスを用いたファイル・スキャンが不可能な場合には、セキュリティ・コントロールが困難になるだろう」と述べている。
さらに、これまでの Microsoft の Office 365 に関する声明を分析すると、高度なヒューリスティックと機械学習などを使用し、なりすましからの保護/攻撃キャンペーンの可視化/フィッシング攻撃の認識といった、メールを保護するための機能が、多く含まれていることが分かる。それらは、他ベンダーにおいても議論/指摘されていることだ。
フィッシング+ソーシャル・エンジニアリングが、攻撃者にとってコスパの良い戦略だという話です。巧妙なフィッシング・キットなどが、低価格で提供される時代となり、この記事で指摘される敵対行為が活発化している状況です。文中でも、Phishing-as-a-Service や malware-as-a-Service などが紹介されていますが、よろしければ as-a-Service で検索を、お試しください。いろいろと出てくるので、驚かれると思います。
IoT OT Security News 
You must be logged in to post a comment.