North Korean APT Group Kimsuky Exploits DMARC Misconfigurations for Sophisticated Phishing Attacks
2024/10/07 SecurityOnline — 長い間にわたって、組織をサイバー攻撃から守る上で、メール・セキュリティは重要な柱となっていた。しかし、最近のレポートでは、DMARC (Domain-based Message Authentication, Reporting & Conformance) などの広く信頼されている保護機能でさえ、ミスコンフィグにより悪用される可能性があることが判明している。Barracuda の Senior Director of Product Management である Sheila Hara は、「北朝鮮の APT グループである Kimsuky が、DMARC のミスコンフィグを悪用して、絞り込まれた標的型のスピアフィッシング攻撃を実行し、世界中の民間部門と公共部門を脅かしている」と強調している。
この北朝鮮の APT グループ Kimsuky は、偵察総局の下で活動しており、外交政策や核問題に関する情報を収集するために、国外のシンクタンク/メディア/学界などを標的にすることで知られている。Sheila Hara が概説するように、彼らの最新の戦術は、コンフィグレーションが不十分な DMARC ポリシーを悪用して、正当なドメインを偽装し、メールの受信者を欺くところにある。
Sheila Hara は、「この問題は、単なる地政学的な懸念ではない。Kimsuky の活動が浮き彫りにするのは、メール・セキュリティ上の欠陥は、どんなに小さなものであっても、悪意により強力な武器になり得るということが」と述べている。
SPF (Sender Policy Framework)/DKIM (DomainKeys Identified Mail) プロトコルを用いる DMARC は、メールの正当性を検証するためのものであり、メール・ベースの攻撃を防ぐ上で重要な役割を果たしている。これらのシステムにより、対象となるメールが承認されたサーバーから送信されることが保証され、なりすましが防止される。しかし、Hara が警告するように、「DMARC は正しく設定されている場合にのみ機能する」ということを、再認識する必要がる。
数多くの組織が、不完全または脆弱な DMARC ポリシーの犠牲となり、SPF/DKIM チェックに失敗したメールが適切に拒否されず、隔離されないという状況に陥っている。
こうしたミスコンフィグを悪用する Kimsuky は、大学や研究機関などの信頼できるソースを模倣する、フィッシング・メールの送信を可能にする。これらのなりすましメールは、多くの場合において、最初のチェックを通過し、脆弱な DMARC コンフィグでは検出されることなく受信トレイに届いてしまう。
北朝鮮の政策会議で講演するようターゲットを招待する偽メールが、Kimsuky から送信されたという事例がある。このメールは SPF と DKIM のチェックを受けるのだが、DMARC のミスコンフィグが原因となりブロックされなかった。それにより、スピアフィッシング攻撃が成功し、また、攻撃者が既存のメール・システムを操作できることが判明した。
このシナリオがもたらす懸念は、業界全体に DMARC のミスコンフィグが蔓延していることだ。Hara の指摘は、数多くの組織が依存しているモニター・ポリシーでは、DMARC ポリシーが導入されず、さらに悪いことに、潜在的な脅威をログに記録するだけで対策を講じないという慣行があるというものだ。この種の慣習により、セキュリティに対する誤った認識を与えられ、フィッシング攻撃に対して脆弱なシステムが生み出される。
Sheila Hara は、「想像する以上に、ミスコンフィグは一般的なものである。さらに、DMARC ポリシーを導入している場合であっても、数多くの組織がログに記録するだけの “モニター” 設定を使用しており、防止しようとする脅威自体をブロックしていない」と付け加えている。
DMARC のミスコンフィグを、北朝鮮の Kimsuky が狙っているという怖い話です。導入している組織も多いと思います。ご注意ください。よろしければ、DMARC で検索と、Kimsuky で検索を、ご利用ください。カテゴリ MisConfiguration もあります。
IoT OT Security News 
You must be logged in to post a comment.