.Gov No More: Government Domains Weaponized in Phishing Surge
2025/02/02 SecurityOnline — 最近の Cofense Intelligence レポートで明らかになったのは、フィッシング・キャンペーンで .gov TLD (top-level domains) を悪用する脅威アクターが増えているという、懸念すべき傾向である。この2年間 (2022年1 月~ 2024年11月) において攻撃者たちは、複数の国々の政府 Web サイトにおいて、そこに存在する脆弱性の悪用や、悪意のコンテンツのホスト、Command and Control (C2) サーバとしての悪用、認証情報フィッシング・サイトへのユーザーのリダイレクトなどを行ってきた。
.gov TDL は、多くの人々に信頼されるが、この信頼が武器化されているという現状がある。このレポートによると、OSS のエンタープライズ・ポータルを提供する、Liferay プラットフォームのオープン・リダイレクトの脆弱性 CVE-2024-25608 を、悪用する攻撃者が多いとのことだ。このような欠陥を悪用する脅威アクターは、SEG (Ssecure Email Gateway) をバイパスし、被害者を騙して悪意のリンクをクリックさせるという。
攻撃者が用いる主要な手口として、オープン・リダイレクトの悪用が挙げられる。このオープン・リダイレクトに対して MITRE は、ユーザー入力を受け入れる Web アプリケーションが、外部のサイトを指定し、そこへとユーザーをリダイレクトする脆弱性だと定義している。Cofense のレポートでは、「脅威アクターたちは、Google AMP や TikTok などのオープン・リダイレクトを定期的に利用して、SEG (Ssecure Email Gateway) をバイパスしているが、同様に .gov TDL も悪用されている」と述べている。
脅威アクターたちは、フィッシング・メールに .gov URL を埋め込み、政府ドメインへの信頼によりユーザーを騙して、悪意のリンクをクリックさせる。それらのメールの多くは、Microsoft ログイン・ポータルを装う認証情報フィッシング・ページへと、ユーザーを誘導するものだ。
米国ベースの .gov TDL を、オープン・リダイレクトに悪用するキャンペーンは、すべて が Microsoft をテーマにしている。一般的な、認証情報フィッシング・ページには、Microsoft のロゴとインジケーターが含まれている。
米国にリンクされた .gov TDL は、悪用されたドメインの 9% を占めるに過ぎないが、それでも世界で3番目に多く悪用されている。観察されたキャンペーンにおける、米国政府ドメインの悪用事例は、すべてがオープン・リダイレクトに関連していた。このレポートが指摘するのは、「使用されたオープン・リダイレクトの 77% 以上が、”noSuchEntryRedirect” を使用しており、米国を拠点とする政府 Web サイトも、CVE-2024-25608 の被害に遭った可能性が高い」というものだ。
世界中で最も標的とされたブラジルの .gov.br ドメインは、2位から4位の合計よりも多くを占めている。ただし、このレポートが示唆するのは、ブラジル政府 Web サイト全体が広く悪用されたのではなく、いくつかの高度に標的化されたドメインが、複数回にわたり再利用され可能性があるという点だ。
.gov TDL の悪用により、SEG がバイパスされるという状況は、特に憂慮すべきものである。主要な電子メール・セキュリティ・ソリューションである、Microsoft ATP/Proofpoint/Cisco IronPort/Symantec MessageLabs/Mimecast などは、それぞれの政府で生じたオープン・リダイレクト・フィッシング・メールをフィルタリングできなかった。それが示すのは .gov TDL による SEG バイパスが、高い確率で成功している状況である。
攻撃者たちが多用するのは、正当性を装うビジネス・リクエストに関連する、文書の署名や件名を用いたフィッシング・メールの作成である。多くのユーザーは、本質的に政府の Web サイトを信頼しているため、完全な URL を精査しないことが多く、リダイレクト・ベース・フィッシングの格好の標的になる。
大半の .gov ドメインの悪用は、フィッシングに関連していますが、Cofense Intelligence が発見したものには、政府の電子メール・アドレスが侵害され、マルウェア操作の C2 サーバとして悪用された事例もあるという。2023年半ばから 2024年初頭にかけて、侵害した政府の電子メールを悪用するサイバー犯罪者は、Agent Tesla Keylogger/StormKitty などのマルウェアを操作する、C2 サーバの機能を手に入れていた。
Cofense Intelligence のレポートでは、このような手口に悪用された、政府の電子メール・アドレスは2つだと確認されている。このような状況が示唆するのは、政府部門全体での電子メール・セキュリティが強力であっても、攻撃からは免れないという現実である。
政府系ドメイン (.gov) の信用を悪用してSEG をバイパスするという、恐ろしいフィッシング・キャンペーンが展開されています。現時点では、悪用が確認された政府の電子メール・アドレスは2つのみとのことですが、注意が必要です。よろしければ、Phishing で検索 も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.