mailinspector’s blog

安全なメールへのご案内

メールの歴史、構造、伝達過程、そしてその重要性について

こんにちは:)

本日は、私たちのデジタル生活に深く根付いている「メール」について見ていきたいと思います。

メールとは何なのか、どのように動作するか、そしてなぜ今も重要なのかを一緒に見てみましょう!

 

 

1. メールの定義と歴史

 

 

​1970年代に初めて登場した「メール」は、インターネットを通じてメッセージをやり取りする方法です。

1971年、レイ・トムリンソンが「@」記号を使用した最初のメールを送信し、メールが一般に広まりました!

 

特に日本では、メールの歴史が特徴的です。

わずか2011年までは、通信会社間で協約が成立せず、
異なる通信会社とSMSを送受信することができませんでした。

したがって、代わりにメールが広く使用されてました。

 

 

 

2. メールの構造

 

 

メールアドレスは、私たちが設定する名前である「ユーザー名」と、

メールを提供する会社の名前、つまり「ドメイン」で構成されています。

 

ユーザーは自由にユーザー名(ID)を選ぶことができますが、

一部の特殊文字は制限される場合があり、スペースは許可されません。

 

ドメイン名は、メールアカウントを提供するホストのドメイン名と一致する必要があります。

「@」記号の後ろに続くドメイン名は、主にメールサービスプロバイダーを示します。(例:Naverメールの場合はnaver.com、Googleメールの場合はgmail.com

 

 

 

3. メール送信プロセス

 

メールの送信プロセスは、手紙を送るプロセスに似ています。

私たちが書いたメールは、メールプログラムから複数のメールサーバーを経由して、受信者のメールサーバーに到達し、そこで受信者がメールを確認することになります。

 

図式化すると次のように表現できます!

「送信者メールクライアント→送信者メールサーバ→受信者メールサーバ→受信者メールクライアント」

もう少し詳しく見てみましょうか?

 

 

メールを作成すると、まずメールは「クライアント」、つまりOutlookのようなメールプログラムから送信され、メールサービス会社のコンピューター(メールサーバ)に送られます。

このプロセスの中で、メールはSMTP(Simple Mail Transfer Protocol)サーバーに移動します。

 

SMTPとは?

 

インターネットでメールを送信する際に使用される標準的なプロトコルを言います。

このプロトコルは、異なるメールシステム間でのメッセージの送信および中継を可能にします。

簡単に言うと、SMTPサーバーはメールの送信を担当しているのです! 

このように、複数のメールサーバーを経由して受信者のメールサーバーに到達することになります。

 

受信者のメールサーバーでは、POP(郵便プロトコル)やIMAP(インターネットメッセージアクセスプロトコル)といったサービスを提供しています。これらのプロトコルは、受信したメールを私たちに表示する役割を果たします。

このようなプロトコルを使用してメールを検索し、最終的に受信者のメールプログラムで送信されたメールを確認できるのです。

 

このように、メールは作成したところから受信者が確認するところまで、いくつかの段階を経て届けられます。

複雑に見えるかもしれませんが、このすべてのプロセスが迅速に進行されるため、私たちはほぼ瞬時にメールを送受信することができるのです!

 

 

 

4. 役割と重要性

 

 

今日、SNSの発展とともに、カカオトークInstagramのダイレクトメッセージなど、さまざまなコミュニケーション手段が登場しましたが、

それでもメールは依然として個人および企業間の主要なコミュニケーション手段です。

会社で働くようになると、メールでコミュニケーションをとる場面が非常に多くなるのですが!

取引先や内部の従業員など、さまざまな関係者と業務を進める中で重要な内容がやり取りされますが、それを効果的に管理する手段がメールなのです。

 

メールは文書の原本状態を保持し、保存するため、必要なときにいつでも再確認できるという特徴があります。

このような永続性は、業務の透明性を提供し、必要に応じて証拠として使用することもできます。

 

メールの重要性はこれだけではありません!

 

メールは大量の情報を一度に伝達することもでき、

同時に複数の人々に情報を共有できるため、

取引先の見積もり依頼、請求書発行依頼、内部従業員との業務調整など、

さまざまな業務をメールで効果的に行うことができます。

 

さらに、時間や場所にとらわれずに情報をやり取りできるため、

業務の効率性を大幅に向上させます。

また、メールは契約書、住民票、通帳のコピーなどの重要な個人情報や会社の機密文書をやり取りする際に主に使用されるツールです。

 

したがって、メールは単に情報をやり取りする手段ではなく、

業務の効率性と透明性を向上させる重要なツールであると言えます。

メールの使い方を正しく理解し、適切に活用することで、より効率的な業務行うことができるようになるでしょうね?​

 

そして何よりも重要なのは!

重要な文書がやり取りされるメールの安全性を確保するために、

継続的にメールのセキュリティチェックを行うことが非常に重要です!

 

カナダ・トロント州公共部門、ランサムウェア攻撃急増でサイバーセキュリティ非常事態

 

要約

サイバー攻撃が日増しに増加する中、公共機関もその被害から逃れることはできません。トロント国立図書館は、10月末にランサムウェア犯罪組織「Black Basta」からのメール攻撃を受け、大きな被害を受けました。メール内の悪意のある添付ファイルやURLを通じて犯罪が行われましたが、こうした攻撃は日常生活の中でも無意識のうちにクリックしてしまうことが多く、多くの人々を犯罪の標的にしやすいため、特に注意が必要です。国際電気通信連合(ITU)の国際メールセキュリティ標準に明記されている攻撃タイプと対応策を把握すれば、効果的な対応が可能です。

 

 

 

1. 概要

 

Deloitteの調査によると、すべてのサイバー攻撃の91%は、被害者に送られる標的型メールから始まります。数年にわたるメディアや企業のセキュリティプログラムを通じて、ユーザーにメールの危険性やその検出方法についての広範な教育を行ってきたにもかかわらず、これらの攻撃は依然として進化しています。

欧州連合サイバーセキュリティ庁の最近の研究結果は、サイバー攻撃の主要な木y表として浮上している政府および公共機関の行政の脆弱性に注目しています。政府や教育機関のような高価値なデータを持つ公共機関は、市民記録、財務情報、政府運営データなどを含む膨大な量の機密データを保有しています。これらの情報は、身元盗用や金融詐欺、ダークウェブでの販売によってサイバー犯罪者が収益化できる手段となり得るため、容易に標的とされます。また、日常生活と関連する重要なインフラやサービスを管理していることが多いため、フィッシングメール攻撃によって重要なサービスが中断されると混乱が生じる可能性があり、問題を迅速に解決する必要があるという緊迫感と圧力が生じます。そのため、攻撃者の身代金要求に応じる確率が高くなります。こうした高度なサイバー攻撃戦術に技術的に対処するためのセキュリティソリューションを記事で詳しく見ていきたいと思います。



 

2. サイバー攻撃事例分析 - 攻撃タイプ

 

ヨーク大学(2020年)、TTC(2021年)、ロンドン公共図書館(2023年)、トロント動物園(2024年)など、カナダの公共機関に対するランサムウェア攻撃は2020年から継続的に発生しています。カナダサイバーセキュリティセンター(Canadian Centre for Cybersecurity)の2023~2024年国家サイバー脅威評価報告書によれば、ランサムウェアは「カナダの組織が直面している最も破壊的な犯罪の一形態」とされています。このような攻撃のタイプや、被害を事前に防ぐための対策ソリューションについては、UNの専門機関であるITU(国際電気通信連合)の国際標準に詳細に説明されています。この記事では、サイバー攻撃の形態を分析し、タ標的となる企業が事前に予防できるようになることを目指しています。

 

2023年10月29日(日曜日)、トロント公共図書館TPL)の支店長は上司から「コンピュータにアクセスできないので、連絡先リストを確認し、他のスタッフに同じ問題が発生していないか確認するように」との指示を受けました。確認してみると、tpl.caのメインサイトがオフラインにされ、オンラインアカウントにアクセスできず、公共コンピュータや図書館支店の印刷サービス、「マイアカウント」機能などのサービスも利用できなくなっていました。

TPLの関係者は、全体のコンピュータシステムがダウンしたにもかかわらず、攻撃が特定のランサムウェアによるものだとは考えておらず、攻撃者が誰であるかも確認していませんでした。被害発生から48時間後、図書館の職員を支援するためにサイバーセキュリティニュースを提供するオンラインメディア『BleepingComputer』が、TPLワークステーションに表示されたランサムノートを確認し、その感染の後に「Black Basta」ギャングが攻撃の背後にいることを明らかにしました。

今回の攻撃者は、フィッシングメール、損傷したZIPファイルのウェブサイト(URL)、およびマルウェアに感染した添付ファイルなどの手段でコンピュータネットワークへのアクセス権を得ることを目的としました。感染したZIPファイルをユーザーがダウンロードすると、マルウェアがネットワークに侵入し、アンチウイルスシステムを無効化し、いわゆるミラーサイト(バックアップ)のデータを含むデータストレージを探し出して、それらのファイルを暗号化し、ネットワーク所有者がアクセスできないようにプログラムされていました。攻撃者は、ネットワーク所有者がデータに再びアクセスできるようにするために暗号通貨での支払いを要求したり、盗んだデータを公にアクセス可能なサイトに公開すると脅迫しました。

 

ブラックバスター攻撃の流れ

出典: パロアルトネットワークス ユニット42

 

メールセキュリティ標準では、上記の事例に該当するハッキングを「7.1 Malware email attacks」(7.1 マルウェアメール攻撃)として定義しています。マルウェアを利用した攻撃は、主にURLを介した二次的またはそれ以上の経由地に誘導するフィッシングメールと、添付ファイル内のURLにマルウェアを埋め込む形で行われる2種類に大別されます。

 

国際メールセキュリティ標準であるITU-T X.1236では、[7.1.2 Malware in an attachment](添付ファイル内のマルウェア)と[7.1.3 Malware in uniform resource locator](URL内のマルウェア)を次のように定義しています。

  • 7.1.2 Malware in an attachmen:攻撃者がドキュメント、画像、ビデオなどの形式でメールに含まれた添付ファイル内にマルウェアを隠すタイプの攻撃です。実行ファイルを使用する場合、送信者のアドレスをスプーフィングして、受信者がマルウェアが含まれたメールを開くように誘導することができます。
  • 7.1.3 Malware in uniform resource locator:ユーザーを悪意のあるウェブサイトに誘導するために、メール内にクリック可能なマルウェアを含むリンクを挿入する方法です。これは、メールが配信されるタイミングや、メールまたは添付ファイル内のURLをクリックしたときにマルウェアが実行される攻撃である可能性があります。 

 

 

 

3. サイバー攻撃事例分析 - ソリューション

 

このようなマルウェアを含む添付ファイルや悪意のあるURLから貴重な情報資産を保護するためには、国際標準を沿った対応策を遵守することが必要です。

国際標準の8.1番[Security requirements to counter malware email attacks](マルウェアメール攻撃に対するセキュリティ要件)と9.1番[Countermeasures for targeted email attacks](ターゲット型メール攻撃への対応策)を遵守することで、効果的に対応することができます。

 

添付ファイル内のマルウェア攻撃に対応するためには、以下のようなセキュリティ要件を遵守する必要があります。

 

  • 様々なファイル形式で偽造されたファイル拡張子を検出することを推奨します。

 

このようなセキュリティ要件を反映して、以下のようなソリューションを導入することで、添付ファイル内のマルウェア攻撃に対する先制的な対応が可能となります。

 

  • ビッグデータに基づく検査では、クラウドサービスを通じてユーザーの送受信すべてのメールデータを定期的にスキャンし、さらに検査が必要な悪意のある添付ファイルを抽出します。また、ビッグデータシステムに蓄積されたデータに基づいて、標的型メール攻撃のリスクがあるかどうかを判断します。この機能は、偽造されたファイル拡張子を識別・検出します。

 

URL内のマルウェア攻撃に対応するためには、以下のようなセキュリティ要件を遵守する必要があります。

 

  • 複数のリンク先(URL)内の最終目的地を追跡し、すべてのURLでマルウェアの有無検査を行う必要があります。

 

これらのセキュリティ要件を反映し、以下のようなソリューションを導入することで、この攻撃に対する先制的な対応が可能となります。

 

  • URL画像変換は、悪意のあるURLが添付されたと検知される危険な環境でURLリンクに接続するのを予防することができます。

 

このような先制的な対策を通じて、この攻撃タイプを持つメール攻撃の脅威を防ぐことができます。加えて、これらのメール攻撃タイプを把握し、対応策を講じるためには、国際標準に関する理解と、それに対応するソリューションの使用が重要です。Mail Inspectorプラットフォームには、これらの機能要件を反映したソリューションを提供しています。



 

4. 結論

 

組織化されたサイバー攻撃は政府を揺さぶることができます。政府はあらゆるサイバー攻撃の危機にさらされており、その被害は職員や一般市民に責任が転嫁されます。メールセキュリティ標準は、高度化されるメール攻撃に対応するためのソリューションを提供する中心的な役割を果たしています。ITU-T X.1236に基づいてメールセキュリティを診断することは、ハッキング技術に対する予防的な防御戦略と言えます。メールセキュリティ標準の遵守に関する診断は、Mail Inspectorで解決できます。

 

 

 

参照

 

<サイバー攻撃全体の91 %は、予期せぬ被害者へのフィッシングメールから始まります>

https://www2.deloitte.com/my/en/pages/risk/articles/91-percent-of-all-cyber-attacks-begin-with-a-phishing-email-to-an-unexpected-victim.html

 

<SPACING INVESTIGATIONトロント公共図書館ランサムウェア攻撃、PT.I>

https://spacing.ca/toronto/2024/03/27/spacing-investigation-toronto-public-library-ransomware-attack-pt-ii/

 

<ブラックバスタ・ランサムウェア攻撃による公共図書館の停止に関して>

https://www.bleepingcomputer.com/news/security/toronto-public-library-outages-caused-by-black-basta-ransomware-attack/

 

<トロント公共図書館ランサムウェア攻撃で盗まれたデータを確認した。>

https://www.bleepingcomputer.com/news/security/toronto-public-library-confirms-data-stolen-in-ransomware-attack/

 

<脅威の評価: Black Bastaランサムウェア>

https://unit42.paloaltonetworks.com/threat-assessment-black-basta-ransomware/

発信メールの脅威に対する対策 - 2

前回に続き、最後に

発信メールの脅威への対応策

第二弾をお届けします!

 

 

1. 意図的な情報流出に対する対応策

 

​発信メールのブロック対策は、メールを通じた情報およびデータ流出の試みを阻止するために、メール発信時にセキュリティ対策を確立します。

 

​ブロック政策の条件は、容量が大きい添付ファイルの容量制限, メール本文の画像サイズ制限、対象に対する例外送信者リストを設定、ファイル名、個人情報を反映した数字や言語、ファイル名及びファイル拡張子に対する添付ファイルがあります。

 

送信メールの遅延及び回収が可能です。

メール送信時に時間を少し遅らせる機能を設定することができます,遅延時間中のメール送信はキャンセルすることができます。

この時、一度回収したメールは再度復元することができないため、再度メールを作成する必要があります。

 

 

 

2. 意図しない情報漏洩に対する対応策

 

電子メール暗号化は、電子メールと添付ファイルの内容を暗号化したり、偽装して機密情報を許可されていない受信者以外の 他の人が読めないように保護します。

このアプローチは、重要な情報が無許可の第三者によって傍受されるのを防ぐだけでなく、データ保護コンプライアンスを維持し

通信される情報の機密性を維持するのに役立ちます。

 

該当するメール変換条件は、孤立した内部ネットワークから外部ネットワークに大きな添付ファイルがあるメールを安全に送信するには,一般的な添付ファイルとして分類するために、大容量の添付ファイルに対するセキュリティを確認し、承認後に変換されたメールを転送する機能を有効にしたことを確認する必要があります。

 

メール回収条件は、隔離された内部ネットワークから外部ネットワークに添付ファイルが

大きな電子メールを安全に送信するには、事前に設定された電子メール送信ポリシーに基づいて, 一般的な添付ファイルとして分類するために挿入された大容量添付ファイルに対するセキュリティリスクを検討します。大きな添付ファイルの暗号化された 外部ネットワークのパス情報をURLで添付する必要があります。

 

 

3. アカウント乗っ取りを利用した攻撃に対する

IP権限設定を実装することが重要な戦略であり, セキュリティ管理者は、事前に承認されたIPアドレスと特定の国のメールのみを許可するようにシステムを構成することができます。

これにより、信頼できないまたはリスクの高いソースから発生する

可能性のある潜在的に有害なメールを効果的にフィルタリングします。

潜在的に有害なメールを効果的にフィルタリングします。

このような措置は、攻撃者がメールアカウントへの不正アクセスを得ることができる経路を制限することで、アカウント乗っ取り攻撃の経路を制限することで、アカウント乗っ取り攻撃のリスクを大幅に低減します。

 

 

 

4. 権限のないメール サーバーへの対応策

 

メールサーバーおよびIPアクセス制御は、セキュリティ管理者が メールやメールクライアントへのアクセスを制限することで、送信される安全なメールリンクを制御することができます。

 

登録されたIPからメールをブロックすることができます、クライアント・サーバー・プロトコルに基づいた通信アクセスを制御して メールクライアント通信を遮断することができます。

登録されたIPアドレスおよび国からのみメールを送信することができます、IPアドレス、日付など、メールサーバーへのアクセス制限に関するログを提供します。

 

結論として、絶えず変化する脅威的なサイバー環境や 常に存在する人為的なミスを考慮すると発信メールの保護を維持することは 選択事項ではなく、必須事項です。

 

このようなリスクを予防・対処するために 強力なメールセキュリティ対策を講じ, セキュリティのベストプラクティスに関するデータ保護ポリシーを実施し、暗号化や高度な脅威検出などの 国際標準ベースの技術ソリューションを使用することをお勧めします。

 

国際標準に準拠した技術により,継続的な検査とモニタリングを行うことで 発信メールに関連する潜在的な問題を把握し、解決することができます。

 

送信メールのセキュリティを定期的に監視することで規制し,重要な情報を意図せず共有することを防止して mail inspectorの基準を遵守することができます。

 

最後に

 

送信メールの脅威を効果的に解決し、強力なセキュリティを確保するためには 技術的なセキュリティソリューションと継続的なモニタリングを組み合わせた mail inspectorのようなセキュリティ標準技術の導入が不可欠です。

 

 

参考文献

 

<Outbound Email Security>

Outbound Email Security (powerdmarc.com)

 

<What is Outbound Email Protection?>

https://ironscales.com/glossary/outbound-email-protection

 

<Data Leakage - the risk, the reality and messaging channels>

:https://www.leapxpert.com/data-leakage-the-risk-the-reality-and-messaging-channels/

 

<Security requirements and countermeasures for targeted email attacks>

https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en

 

ソーシャルエンジニアリングによるメール攻撃の理解

ソーシャルエンジニアリングによるメール攻撃の理解

 

 

タイトルテキスト: ソシャルエンジニアリングによるメル攻

代替テキスト: ラップトップの面にはソシャルメディアのプロフィルが表示されており、怪しい人物と「これは本にあなたですか?」と尋ねる吹き出しが表示され、ソシャルエンジニアリング攻表すイラスト。イメージの主題を示す「7.2. ソシャルエンジニアリングによるメル攻」というテキストも含まれています。

 

今日は、特定のタゲットを狙ったメル攻の一種であるソシャルエンジニアリングによるメル攻念について探求します。

 

 

タイトルテキスト: ソシャルエンジニアリングによるメル攻する要 - メルセキュリティ基準

代替テキスト: 「メルセキュリティ際基準」というタイトルのインフォグラフィックで、「ソシャルエンジニアリングによるメル攻」の第7.2節を調し、装されたヘッダ、類似ドメイン、アカウントっ取り、URLフィッシングなどのサブトピックを扱っています。

 

1. ソーシャルエンジニアリングによるメール攻撃の定義

人間の心理を利用してメールセキュリティを脅かす攻撃であり、システムの脆弱性を標的とする技術的攻撃と対照的な概念です。種類には偽装されたヘッダー攻撃、類似ドメイン攻撃、アカウント乗っ取り攻撃、URLフィッシング攻撃などがあります。

 

2.ソーシャルエンジニアリングによるメール攻撃の正確な概念の理解

 

概念の範囲

ソーシャルエンジニアリング攻撃は、幅広い戦術を含みます。このような攻撃はメールに限定されず、電話通話、物理的な相互作用またはその他の通信手段を含みます。メール詐欺攻撃はメール通信に特化した攻撃です。要するに、ソーシャルエンジニアリング攻撃の中でメールを利用した攻撃がメール詐欺攻撃です。

 

目標の集中度

ソーシャルエンジニアリング攻撃は、機密情報を盗むことから被害者に資金を送金させたり、パスワードを公開するように説得させることまで非常に多様です。しかし、メール詐欺攻撃は一般的に、受信者が詐欺口座に送金したり、機密情報を提供したり、悪意のあるリンクをクリックするなど、特定の行動を行うようにさせるのが主な目的です。

 

攻撃方法の 多様性

ソーシャルエンジニアリング攻撃の核心は、受取人の心理を操作することです。攻撃者は恐怖、緊急性、権威、または親しみなどを利用して、さまざまな戦術を用いて被害者をだまします。メール詐欺攻撃の核心は、攻撃者が他人、しばしば信頼できる個人や組織のようなふりをして、信頼できる合法的なソースからメールを受け取ったと被害者を直接騙します。

 

 

3.進行段階

 

 

タイトルテキスト: ソシャルエンジニアリング攻 のプロセス

代替テキスト: ソシャルエンジニアリング攻を定義し、4つの段階でプロセスを概説するフロチャト:タゲットの識別、カスタマイズされた信の構築、攻行、被害の生と痕跡の除去。

 

1) ターゲット設定情報収集

者は、タゲットの名前、役職、連絡先情報、職場や個人の心事にする詳細など、タゲットにするデタを集します。これには、用可能な特定の要求など、潜在的脆弱性を特定するための情報の分析も含まれます。

 

2) ターゲットカスタマイズ信頼関係形成

集された情報は、タゲットとの信を構築し始めるために使用されます。これは、どのようなタイプの攻を使用するか、どのようなメッセジを作成するか、そしていつ送るかを決定する基盤になります。

 

集された情報は、タゲットとの信構築に使用されます。このプロセスは、しばしば「扁桃体ハイジャック」を含むもので、論理的思考を妨げる感情反を引き起こすものです。者は恐怖、不安、又は興奮などの感情を利用して、被害者の合理的な思考プロセスを麻痺させることができます。彼らは信できる組織を装い、信できる質問で接近します。

 

3) 攻撃実行

操作された メルがタゲットに送信されます。このメルには、緊急の要請、援助の要求、または拒否するにはあまりにも良い提案が含まれることがあります。を構築するための容や緊迫感を生み出す容で、タゲットが疑いなく応答するよう誘導します。

 

4) 被害発生及び痕跡除去

被害者は、機密情報の開示、資金の送金、意のあるリンクのクリック、マルウェアのダウンロドを行うことになります。まれた情報は、身元詐、金融詐欺、追加攻など、さまざまな目的で使用されます。痕跡除去は次のように行われます。

 

  • ログの消去または修正

者はログやその他のデジタル証を消去または修正することができます。これにより、追跡可能なデジタル痕跡が消去され、攻生したことを出するのが困難になります。

 

  • りまたは誤解を招く可能性のあるログ項目の作成

者は、証の消去に加えて、りまたは誤解を招く可能性のあるログ項目を作成することができます。このような項目は、調査者を追跡から外すように設計されており、攻が別の出所から発生したか際とは異なる方法で生したように見せます

 

4. タイプ

ヘッダ改ざん

 

 

タイトルテキスト: ヘッダ改ざん攻

代替テキスト: 「造されたヘッダ」のメル攻の例として、送信者情報を操作し、受信者を欺く攻者の段階を示す調されたメッセジを含むメルインタフェスを示します。

 

ルスプフィングは1970年代から問題視され、1990年代にその使用が加し、2000年代には重大な世界的なサイバセキュリティ問題になりました。造ヘッダの主な目的は、誰かの身元(同僚、サプライヤ、有名ブランドなど)を装して、受信者の信を利用することです。通常、送信者のアドレス、メルが送信された路、到着時間などの詳細情報であるヘッダ造して、自分のメルが合法的であるように見せます。通常、攻者は純なコンピュスクリプトを使用して、送信者のメルアドレスを自分が選したアドレスに更し、このようなメルが合法的なものと見せかけます。このようなルを見つけるために、受信者はしばしばメルの詳細なヘッダ情報を確認する必要がありますが、ほとんどの現代人にはこんな習慣がありません。

*ヘッダ改ざんとメルスプフィングは同じ念を指します。

 

 

5. 類似ドメイン

 

 

タイトルテキスト: 類似ドメイン

代替テキスト: 「類似ドメイン」のメル攻明するインフォグラフィックで、攻者が文字を追加または削除し、文字の順番をえたり、文字の大文字と小文字を更したり、メルアドレスのサ名を更して類似のメルアドレスを作成する例を示します。

 

受信者のメルアドレスの一部であるドメインは、いくつかのヘッダ情報の一部と見なすことができます。しかし、類似ドメイン際に存在するドメインを模倣して使用し、ヘッダ改ざん攻はメルヘッダの情報を更して信できるドメインのように見せかける点が異なります。例えば、攻者は「japan.com」ではなく「jpan.com」のようなドメインを登することができます。このようなドメインから送信されたメルは、一見合法的に見えます。特に最も一般的に使用される類似性は、大文字の「I」と小文字の「l」です。目標とする社やパトナ企業のドメインに非常に似たドメインを登することで、特定の被害者または特定の被害者グルプを攻撃対象とします。これは無差別に攻を行う大規模なスパムメルとは異なる特です。

 

6. アカウント乗っ取り(ATO)

 

 

タイトルテキスト: アカウントっ取り攻

代替テキスト: インフォグラフィック明される「アカウントっ取り(ATO)」攻の例として、メルアカウントの容量不足にする中語のフィッシングメルを示し、攻がユ悪性サイトへ誘導するプロセスの段階を示します。

 

タはATO攻著な加を示しています。2023年第2四半期のデジタル信および安全性指(6番目の情報源)によると、2023年第1四半期のアカウントっ取り事例は、2022年全体の427%も高かったです。フィッシング、のウェブサイト、キロギング、セキュリティ質問のハッキングなど、さまざまな攻方法でアカウントをっ取ることができます。その中で、ソシャルエンジニアリング方法を通じたアカウントっ取り攻は、攻者が信できる情報源になりすまし、被害者を騙して個人情報を共有させるものです。例えば、攻者がフィッシングサイトでアカウント情報を獲得した場合、彼らは他のアカウントに資金を移動するよう要求するメルを送ったり、ハッキングされたアカウントから機密デタを第三者に送るよう要求するメルを送ることができます。

 

7. URLフィッシング

 

 

タイトルテキスト: URLフィッシング

代替テキスト: インフォグラフィックに示された「URLフィッシング」の例として、のログインペジと、このペジで詳細情報を入力するとアカウント情報が攻者のサに流出する可能性があるプロセスの段階を明します。

URLフィッシング攻は、ユを騙して機密情報を取得するサイバの一種です。この攻は通常、ユが信する機や組織、例えば銀行や政府機のように装したメルやメッセジを通じて起こります。フィッシング攻の目的は、ユが自分のログイン情報や個人情報を入力するように誘導することです。

 

例えば、ユが銀行から送信されたように見えるのメルを受け取り、その中にあるリンクをクリックすると、のログインペジにリダイレクトされ、情報を入力することになります。他の 例として、攻者が金還付や政府補助金する情報を提供するように見せかけたメルを送ることがあります。このメルには、政府機のロゴやデザインを模倣したリンクが含まれており、ユがこのリンクをクリックすると、のログインペジにリダイレクトされます。ここで、ユは自分の個人情報やログイン資格を入力するよう誘導されます。

 

このような攻は、タイムラグ攻の形で現れることもあります。これは、攻者が即時の結果を得るのではなく、長期的な点から被害者の信を得て情報を取得する方法です。例えば、攻者は初期には害のない容のメルを送ってユの信を得た後、後に有害なリンクや添付ファイルを含むメッセジを送って信します

 

参考資料

 

<社会工学攻撃サイクルの5つの段階>

https://www.safeguardcyber.com/blog/security/five-stages-social-engineering-attack-cycle

 

 

<社会工学攻撃の段階を理解する:偵察から痕跡除去まで>

https://sendmarc.com/understanding-the-steps-in-a-social-engineering-attack/

 

<メールスプーフィングとは?>

https://www.proofpoint.com/us/threat-reference/email-spoofing

 

<類似ドメインとそれを見破る方法>

https://securelist.com/lookalike-domains-and-how-to-outfox-them/99539/#:~:text=Here%20are%20some%20examples%20of,is%20required%20to%20spot%20it

 

<社会工学的攻撃を理解し、アカウント乗っ取りを防ぐ>

https://blog.sift.com/understanding-social-engineering-and-preventing-account-takeovers/

 

<2023年第2四半期デジタル信頼および安全性指数>

https://resources.sift.com/ebook/q2-2023-digital-trust-safety-index-ai-and-automation/?_gl=1*1k7xb6x*_ga*MjA3OTQ2MTcxLjE3MDAwMTU2MTI.*_ga_R8SV2EK5NZ*MTcwMDAxNTYxMi4xLjEuMTcwMDAxNTczNy4wLjAuMA

 

 

タイトルテキスト: ソシャルエンジニアリング攻のセキュリティ

代替テキスト: 「プレビュ」というタイトルのグラフィックで、「ソシャルエンジニアリング攻対応するためのセキュリティ要件」と「ソシャルエンジニアリング攻する策」とラベル付けされたタブを表示し、予防略にする文書やセクションを示します。

「身代金」を要求するランサムウェア - 危険性と生存戦略

 

 

 

イントロダクション

コンピュータの画面が突然暗くなり、不吉な赤い警告文が目の前に表示されます。 ファイルが暗号化されました。回復するにはお金を払ってください」このようなメッセージが表示された瞬間、胸がドキドキしてパニックになることでしょう。 このようなタイプのサイバー攻撃が、まさにランサムウェアです。ランサムウェアは、ユーザーのデータを暗号化し、その回復に対する費用を要求する攻撃です。

しかし、もう恐れることはありません。 この記事を通じて、その不安感は少しでも解消されることでしょう。 私たちはこの記事でランサムウェアとは何か、どのように私たちの日常生活に浸透するのか、そしてどのように予防し、対処できるのかについて説明します。

 

 

 

1.定義

 

 

ランサムウェア(Ransomware)は身代金を意味するRansomとマルウェアを意味するMalwareの合成語で、ユーザーの同意なしにコンピュータに侵入してユーザーのデータを暗号化させ、その復号化キーを得るためにユーザーに身代金を要求する悪質なソフトウェアを指します。ランサムウェアに感染したコンピュータで暗号化が完了する前に再起動をすると、「あなたのコンピュータはランサムウェアに感染しました」というテキストが表示されます。ファイルを暗号化した後は、プログラムが実行される時点で300ドル相当の対価を要求し、3日以内に送金をしない場合、2倍の600ドルに増やし、7日が過ぎるとファイルの復元ができなくなるなど、ハッカーは機密性のあるファイルを口実に金銭を要求します。

 

 

 

2.危険性

 

ランサムウェアはモバイルとmacOSだけでなく、現存するほぼすべてのオペレーティングシステムで活動可能であるため、いつでも脅威にさらされる可能性があります。仮にハッカーに金銭を支払ったとしても、ファイルが完全に復元されることを保証することはできず、金銭強奪後そのまま潜伏する場合もあります。 また、被害者のコンピュータファイルを一度に暗号化するため、メモリに負担がかかり、治療をした後でも90%以上性能が低下します。

 

 

3.国際標準案で調べた攻撃方法 

 

 国際標準案は、標的型メール攻撃に備えるため、セキュリティ要件と対応策を体系的に記述した文書です。 特に、国連専門機関に接続されている国際電気通信連合(ITU)に登録されているため、国際的に信頼できる内容です。 メールセキュリティの「教科書」と言える国際標準案でランサムウェアがどのように扱われているのか詳しく見てみましょう。

  ランサムウェア攻撃はしばしばフィッシングまたは標的型メール攻撃で始まり、悪意のある攻撃者は詐欺的なメールを使用して受信者を騙してマルウェアをダウンロードするように誘導します。 つまり、メール内の悪質なランサムウェアが含まれた添付ファイルをダウンロードさせることでユーザーに被害を与えるのです。 これは国際標準案の7.1.2 Malware in Attachment(添付ファイル内のマルウェア)に関連する内容です。

"悪質な電子メールの添付ファイルは、攻撃者が一般的に電子メールで送信されるファイルの中にマルウェアを隠す脅威の一種です。 このような悪質な電子メールの添付ファイルは、文書、実行可能ファイル、さらには画像や動画ファイルとして偽装することができます。これらのファイルは別の拡張子で暗号化されることもあります。実行ファイルを使った攻撃は、送信者アドレスを偽装し、受信者をだまして悪意のある文書を含むメールを開封させることができます。"

ランサムウェアマルウェアの一種と言えるので、上記の方法を活用して被害者にランサムウェア攻撃を行うこともできるでしょう。 では、より具体的にランサムウェア攻撃がどのように実行されるのかについて説明します。

 

一般的なファイルに隠されたマルウェア

ランサムウェアは、多くの場合、無害に見えるファイルを介してシステムに侵入することから始まります。攻撃者は、一般的な文書、実行可能ファイル、またはマルチメディアファイルと思われる添付ファイルにランサムウェアを挿入します。これらのファイルは、記事で言及されたマルウェアの媒体と同じタイプのファイルです。

 

偽装された添付ファイル

記事でさまざまなファイル形式に偽装したマルウェアについて説明したように、ランサムウェアもこのような形式に潜んでいる場合が多いです。 疑いを持たないユーザーがこのような感染したファイルを開くと、ランサムウェアが実行されます。

 

暗号化されたファイルの使用

暗号化された拡張子についての言及は、特にランサムウェアに関連しています。ランサムウェアは、ユーザーのファイルを暗号化し、復号化キーの身代金を要求すると知られています。初期の侵害は、メールに含まれる暗号化されたファイルを介して発生する可能性があり、このファイルを実行するとランサムウェアが活性化します。

 

送信者アドレスのなりすまし(スプーフィング)

この手口は、ランサムウェアを拡散するために使用されるフィッシングメールによく見られます。攻撃者は、送信者アドレスをスプーフィングしてメールを信頼できるソースから送信されたように見せることで、受信者が添付ファイルを開いて誤ってランサムウェアをインストールする可能性を高めます。

 

 

 

4.事例

 

- ワーナー・クライ

 

2017年5月12日、ワームの特性を利用することで強力な伝播力を持つ「ワーナー・クライ」が全世界を襲いました。 企業だけでなく、一般人にも被害を与え、米国、英国、ロシアなど150カ国以上、30万台のPCを感染させ、世界中の病院、銀行、企業などのコンピュータネットワークを麻痺させました。被害額は約40億ドル-80億ドルと推定され、世界的に大きな損失を与えた事例として残っています。

 

- NotPetyaについて

2017年にウクライナを中心に発生したNotPetyaランサムウェア攻撃は、世界中の企業に影響を与えました。 この攻撃は、一般的なサイバー犯罪ではなく、サイバー戦争の一部であり、その結果、数十億ドルに達する大規模な被害をもたらしました。 一般的なランサムウェアとは異なり、ユーザーのファイルを暗号化して身代金を要求するのではなく、システムのファイルを破損させる方法で作用しました。

 

 

 

5.攻撃原理と種類

 

 

ランサムウェアは、電子メールの添付ファイル、フィッシングサイト、ダウンロードファイルなど様々な経路を通じてユーザーのシステムに侵入します。ランサムウェアに感染すると、CPU、ハードディスク、メモリ使用量が急増し、ファイルの暗号化を開始します。これにより、ユーザーは自分のデータにアクセスできなくなります。ユーザーのファイルが暗号化されると、ランサムウェアはユーザーに身代金を支払うようにメッセージを送ります。通常、暗号通貨で身代金を要求し、支払わない場合、ファイルを永久に破損させたり、公開すると脅します。

ランサムウェアは攻撃方式によって様々な種類に分類することができます。代表的なランサムウェアには次のようなものがあります。

 

- 暗号化ランサムウェア(Crypto Ransomware) : 被害者のディスクに保存されたファイルやデータを直接暗号化します。暗号化過程では強力な暗号化アルゴリズムが使用され、一度暗号化されたファイルは、特定のキーがなければ回復が極めて困難です。 暗号化ランサムウェアは主にメールの添付ファイル、悪質な広告、フィッシングサイトなど様々な経路を通じてシステムに侵入します。

 

- ロッカーランサムウェア(Locker Ransomware) : ユーザーの全体システムや特定の機能をロックする方式で動作するランサムウェアの一種です。 このようなランサムウェアは、ユーザーがコンピュータを正常に使用できないようにした後、ロック解除のための身代金を要求します。

 

- スケアウェア(Scareware): これは、偽のセキュリティソフトウェアやクリーンアップツールなどに偽装して、ユーザーを不安にさせて製品を購入するように誘導するランサムウェアです。通常、偽のウイルス警告やシステムエラーメッセージでユーザーを驚かせた後、該当の問題を解決するセキュリティソフトウェアの購入を要求します。

 

- ダックスウェア(Doxware): この種類のランサムウェアは、ユーザーの個人情報を盗んだ後、公開しない身代金を要求します。これは「doxing」という行為から名前を取ったもので、「doxing」は人々の個人情報を収集し、これをインターネットに公開する行為を指します。

 

 

 

6.防止する方法

 

ランサムウェア感染は、セキュリティが不備な場合やメール、偽のウェブサイト、ソフトウェアのダウンロードや悪質な添付ファイルなどを通じて様々な方法で起こります。 したがって、安全でない経路へのアクセスを避け、バックアップとセキュリティ対策をするなどのPCユーザーがセキュリティ管理を徹底するしかありません。

- メールセキュリティ国際標準案を遵守する : 第一、新型マルウェア攻撃の脅威に対応するため、パターンに登録されていない新しいウイルスを検出するための行動基盤分析を実施する必要があります。 第二に、受信メールに含まれる添付ファイルを検査した後、そのメールが悪性と判断された場合、隔離することをお勧めします。第三に、すべてのURLにマルウェアが含まれているかどうかを確認し、接続された複数のURL内の最終URLも追跡する必要があります。

- セキュリティソフトウェアのアップデート:優れた保護機能で検証された代表的なベンダーのウイルス対策ソフトウェアをインストールし、定期的にアンチウイルスおよびセキュリティソフトウェアを最新の状態に維持して、新しいランサムウェアに対する防御力を高めます。

- ネットワークセキュリティの強化: 強力なファイアウォールおよびイントラネットセキュリティを通じてランサムウェアの伝播を防止します。ネットワーク防御の重要な原則を理解することが重要です。暗号化、アクセス制御、監視と検知でセキュリティ事故を事前に予防することができます。

- 定期的なバックアップ:定期的なバックアップが重要な理由は、紛失または破損したデータを復元し、サイバー攻撃から回復することができるからです。重要なファイルは定期的にバックアップし、ランサムウェアに感染したときにデータを回復できるバックアップを保有することが重要です。

 

 

 

7.解決策

 

攻撃者に身代金を支払うことが唯一の方法ではありませんハッカーにお金を支払うことは、ランサムウェア攻撃が成功したことを保証することになるため、同じハッカーまたは他のハッカーからの追加攻撃を引き起こす可能性があります。

まず、感染したデバイスをすべてのネットワーク接続から直ちに切断しますが、デバイスの電源を切らないでください。非常に深刻な場合は、Wi-Fiを遮断し、重要なネットワーク接続を無効にし、インターネットとの接続を切断する必要があるかもしれません。

次に、特に管理者やその他のシステムアカウントを含むパスワードをリセットする必要があります。このとき、復旧に必要なシステムから自分自身をブロックしないように注意する必要があります。

復号化ソリューションが存在するかどうかを確認し、復号化ソリューションが存在しない場合は、システムの復元を試みるか、コンピュータを初期状態に再インストールする必要があるかもしれません。感染したデバイスを安全に完全にフォーマットし、OSを再インストールします。

その後、ウイルス対策ソフトウェアをインストールし、最新バージョンにアップデートした後、実行します。ネットワークに再接続し、ネットワークトラフィックを監視し、ウイルススキャンを実行して残留感染の有無を判断します。

 

今やすべての企業がサイバーセキュリティが単に選択的な要素ではなく、必須の要素として認識しなければならない時代に入りました。ランサムウェアに関連する一連の事件は、私たちにコンピュータシステムのセキュリティ更新の重要性を感じさせます。これにより、私たちはサイバーセキュリティの重要性を改めて認識するようになり、個人的なデータ管理とセキュリティに対する理解をさらに強調するようになりました。 この攻撃を防ぐためには、定期的にデータをバックアップし、信頼できないメールの添付ファイルやリンクをクリックしないように警告してくれる標準を信頼し利用することが必要です。 

 

 

 

参考文献

 

<ノモレランサム>

https://www.nomoreransom.org/en/index.html

<DarkSide Pipelineのランサムウェア攻撃は重要インフラのサイバーセキュリティ向上を促進するか?>

https://www.beyondtrust.com/blog/entry/will-darkside-pipeline-ransomware-attack-fuel-cybersecurity-upgrades-for-critical-infrastructure

<WannaCryptランサムウェア・ワームの標的は旧式のシステムか?>

https://www.microsoft.com/en-us/security/blog/2017/05/12/wannacrypt-ransomware-worm-targets-out-of-date-systems/

<ITU-T勧告>

https://www.itu.int/ITU-T/recommendations/rec.aspx?rec=15710&lang=en



イスラエル-ハマス戦争、サイバー戦争への拡大

 

こんにちは:)

最近、世界中がイスラエルハマスの戦争に注目しています。

 

10月7日にハマスイスラエルへの空爆を奇襲的に開始したことで戦争が始まりました。

現在、22000人以上のパレスチナ人、イスラエル人、民間人、兵士、ジャーナリスト、救援隊員などが死亡したそうです。

 

​ところで、この戦争がサイバー上でも行われていることをご存知でしたか?

今日はこの部分を取り上げてみたいと思います。

 

 

1.KillnetのDDoS攻撃

 

彼らはロシアのハッカーグループで、欧米諸国の政府機関と民間企業に反感を持ち、彼らを対象に攻撃する団体です。特にDDoS(Distributed Denial of Service、分散型サービス拒否攻撃)のサイバー攻撃戦術をよく使うことで有名です。2022年のロシアのウクライナ侵攻時には、ルーマニアチェコノルウェーラトビア、米国、日本など様々な国を攻撃しました。

 

Killnetは最近、イスラエル政府システムへのサイバー攻撃を開始する意向を表明しました。

 

イスラエルアメリカは、民主主義的価値観と共通の利益に基づいて密接な友好関係を持っているため、彼らの標的になったのです。 最近、Killnetは、イスラエル政府のウェブサイトとセキュリティ機関Shinbeitのウェブサイトを破壊することに成功したと主張しました。

 

 

2. AnonGhostのモバイルアプリ攻撃​

 

 

AnonGhostは、アフリカ、中東、ヨーロッパに基盤を置くハッカーグループで、イスラエル緊急警報アプリケーションを攻撃することで、今回のサイバー紛争に参加しました。 このアプリケーションは「Red Alert」であり、様々なロケット、迫撃砲、ミサイルに対するリアルタイムの警報を提供することを目的としています。AnonGhostは、このアプリケーションのAPI脆弱性を利用してサーバーにアクセスした後、偽のミサイル警報を送信しました。 これは、イスラエル国民に不安と混乱をもたらしました。

 

3. テルアビブのスマートビルボードハッキング​

 

テルアビブはイスラエルの過去の臨時首都であり、地中海側に位置する重要な拠点都市です。

 

テルアビブ内外の2つのハイテク広告板がハッカーによって操作されたと言われています。

 

​この広告板には、一般的な広告の代わりに、イスラエルハマスの紛争に関連する親ハマスのコンテンツが掲示されました。 ハマスの兵士、ロケット攻撃、パレスチナの国旗などのイメージを活用しました。

 

広告板のオーナーによると、それほど長くは続きませんでしたが、ネットワークの脆弱性を利用して短時間で攻撃を仕掛けることができたそうです。

 

攻撃ハッカーグループを具体的に特定できた上記の2つの攻撃(Killnet、AnonGhost)とは異なり、この事件は攻撃者の身元について明確に明らかになったことはありません サイバー攻撃の特性上、匿名性を守りやすいため、物理的な戦闘とは異なる点が見える部分です。

 

 

4. 大学データベース(Database)攻撃

 

 

テルアビブ近くのオーノ·アカデミック·カレッジが大規模なサイバー攻撃に直面しました。

 

ヨルダンからのグループが、社員や 学生の記録を含むかなりの量のデータにアクセスし、流出しました。 このグループは、学生や 社員を含む約25万人の個人情報をTelegramに公開しました。 この事件の後、大学はシステムを一時的に閉じることを余儀なくされました。

 

5.  イスラエルの反撃

 

イスラエルに本拠を置くサイバーセキュリティグループであるCheck Point Softwareは、ハマスの攻撃が始まって以来、40以上のグループが80以上のウェブサイトを麻痺させる攻撃を行ったことを追跡しました。 イスラエルは今回の事態の後、米国政府からさらにサイバー支援を受けているそうです。 また、イスラエルの技術コミュニティは、ハマスの攻撃後、「市民サイバー旅団」の結成を報告しました。

 

 

現代の戦争は、単に物理的な戦闘を超え、デジタル領域へと拡大しています。

ハッカーグループは、国家の重要インフラ、通信システムなどに深刻なダメージを与え、国家と国民に大きな混乱をもたらします。

サイバーセキュリティは、情報化社会である今日、その重要性が増しています。

急変するサイバー環境に備えるためには、特に公共期間と民間機関間の協業が重要です。

 

 

参考資料

 

<ハッカーたちがイスラエルハマス紛争に飛び込んだ方法>

How hackers piled onto the Israeli-Hamas conflict - POLITICO

How hackers piled onto the Israeli-Hamas conflict

Lower-level cyberattacks are becoming a major feature of the war between Israel and Hamas, and the attacks could ramp up in intensity.

www.politico.com

 

<ハマス攻撃後、イスラエルを狙ったサイバー攻撃が増加しています。>

https://time.com/6322175/israel-hamas-cyberattacks-hackers/

<サイバー戦争が激化し、イスラエルの電光掲示板がしばらくハッキングされ、親ハマスメッセージが表示されました。>

https://www.cnbc.com/2023/10/12/billboards-in-tel-aviv-briefly-hacked-to-display-pro-hamas-messages.html

<イスラエル·ハマス戦争で増加しているサイバー攻撃>

https://www.youtube.com/watch?v=ul68jzLoedM

<[ディーリングルームバックブリーフィング] サイバーイスラエル·パレスチナ戦争激化···イスラエルの電光掲示板ハッキング>

https://news.einfomax.co.kr/news/articleView.html?idxno=4284124

 

 

2024 グローバルサイバー攻撃仮想シナリオ

2024 グローバルサイバー攻撃仮想シナリオ

 

皆さん、こんにちは。

前回のブログでは、中国、イラン、ロシア、北朝鮮の各国がどのような政治・経済的動機を持ち、今後サイバー脅威戦術をどのように活用するかについて考察しました。

今回は、さらに具体的に!どのようなサイバー攻撃戦術を通じて、どのように敵国のサイバーセキュリティを脅かすことができるかについて探ってみましょう。

 

上記の国々は、それぞれの政治的動機に応じて特定の敵国を対象としたサイバースパイ活動を展開しようとしています。競争国の主要インフラ情報を入手して戦争および攻撃戦略を立てるのに活用し、システム自体を麻痺させることで敵に大きな混乱を引き起こすことができるためです。

 

 ​サイバースパイ攻撃戦術で最も活用される主要技術は以下の通りです。

 

*特に注目すべき点は、メール攻撃においてヘッダーを偽造する手法ではなく、類似ドメインやアカウント乗っ取り(ATO)手法を使用してメールセキュリティソリューションを回避することです。このような手法では、正常なルートで詐欺メール攻撃を試み、検出を回避します

 

アカウント乗っ取り(ATO)攻撃

サイバー攻撃戦略の一つであるATOは、ユーザーのメールアカウントを乗っ取り、機密情報を漏えいさせる攻撃の一つです。特に、敵国との戦争中の情報戦の一環として利用される可能性が高いです。国際電気通信連合(ITU)の国際メールセキュリティ標準には、この攻撃について次のようなことが詳述されています。

 

7.2. ソーシャルエンジニアリング攻撃 中

7.2.3. アカウント乗っ取り攻撃

 

ATOは実際のユーザーのアカウントを利用したソーシャルエンジニアリング攻撃のことです。攻撃者は乗っ取ったメールアカウントにログインし、ユーザーのメール履歴を閲覧した後、機密情報や潜在的二次被害者を特定します。例えば、攻撃者はフィッシングサイトから乗っ取ったアカウント情報を使用して、送金口座の変更を要求したり、アカウントに保存された機密情報を外部の第三者に転送させようとするようなメールを送信することができます。 

 

​1. 「影の作戦:敵国の軍事情報を奪取せよ」

国際標準案を活用し、実際のサイバースパイ活動に適用できる仮想シナリオをお見せします。

 

​§ 背景

A国のサイバースパイ団体は、B国との軍事作戦に関する重要な情報を収集するためにATO攻撃を計画します。 彼らの目標は、B国の軍高官のメールアカウントを乗っ取り、軍事戦略や軍用情報を入手することです。

 

​§第一段階

フィッシング攻撃によるアカウント情報の取得

 

 

A国のサイバースパイ団体は、B国の軍関係者をターゲットに精巧なフィッシングメールを送信しました。


このメールはB国防省の公式文書のようにデザインされ、重要なセキュリティアップデートのためにログインを促す内容が含まれていました。その結果、軍関係者は疑うことなくログインしました。

 

被害者がメール内のリンクをクリックし、偽のログインページで自分のメール資格情報を入力すると、攻撃者はその情報を取得します。

 

§第二段階

 

メールアカウントの乗っ取りと情報収集

 

攻撃者は取得した資格情報を使用して、被害者のメールアカウントにアクセスします。彼らはメール履歴を確認し、軍事作戦、兵力配置、武器システムに関する機密情報を探します。また、攻撃者は被害者がやり取りしている他の軍関係者の連絡先を把握し、追加のフィッシング攻撃のターゲットとします。

 

§第三段階

 

二次攻撃と混乱の醸成

 

攻撃者は被害者のアカウントを利用して他の軍関係者にメールを送信します。このメールには、緊急の資金振込口座の変更要求や機密情報の外部送信を求める内容が含まれています。このような活動は、B国軍内部の混乱を引き起こし、敵の勢力を大幅に弱体化させることができます。

 

§結果

A国のサイバースパイ団体は、この攻撃を通じてB国軍の戦略計画を把握し、軍事作戦に重大な影響を与える情報を収集します。この攻撃はB国軍の内部信頼を弱体化させ、大きな混乱を引き起こす可能性があります。

 

2. なりすましメール攻撃

北朝鮮やイランは、なりすましメール攻撃を通じて政治的および軍事的な目的で情報を収集し、世論を操作することができます。例えば、イランはイスラエルサウジアラビアの政府機関になりすましたメールを送信することで、軍事的・政治的情報を収集したり、混乱を引き起こしたりすることができます。また、なりすましメールを使用して国内外の反対勢力に対する監視や抑圧活動を行うことも可能です。これにより、イラン政府は反対派の活動を制限し、政治的安定を維持しようとするでしょう。

 

国際電気通信連合(ITU)の国際メールセキュリティ標準には、このような攻撃が2つ記載されています。

7.2.社会工学的攻撃、中国

7.2.1.偽造ヘッダー

 

偽造されたヘッダーは、詐欺師がヘッダーのアカウント情報を偽造し、検出を回避する社会工学攻撃の一種です。攻撃者はメールヘッダーを偽造することで、ユーザーが返信する際にメールの受信先をすり替えます。偽造ヘッダー攻撃を通じて、攻撃者は企業の認証情報や個人情報を含む正規ユーザーのメールを傍受することができます。

 

7.2.2 類似ドメイン

類似ドメイン攻撃は、攻撃者が裸眼で見ると、正常で馴染みのある送信者に見える非常に似たメールアドレスから、悪意のあるメールを送信する攻撃の一種です。例えば、大文字の「I」と小文字の「l」は見た目が似ており、この類似性を悪用して攻撃を行うことができます。

 

3. 影のネットワーク、イランのサイバー諜報作戦

国際標準案を活用し、実際のサイバースパイ活動に適用できる仮想シナリオをもう一つお見せします。

 

§ 背景

C国の高度なサイバースパイ団体は、中東地域の地政学的バランスを揺るがし、自国の影響力を拡大するために複雑ななりすましメール作戦を開始します。この作戦の目標は、D国とE国の政府および軍事機関の内部情報を収集し、C国内外の反対派に対する監視網を強化することです。

 

​§ 第一段階

 

なりすましメール攻撃の準備

 

C国のサイバースパイ団体は、D国とE国の政府機関および主要企業のメールパターンや通信スタイルを綿密に分析します。これにより、信頼できる送信元に見えるメールテンプレートと戦略を開発します。

 

§第二段階

 

偽造ヘッダーと類似ドメインを利用した攻撃の実行

 

 

C国のサイバースパイ団体は、偽造ヘッダー技術を使用してD国の国防省高官からのように見えるメールを送信します。このメールは、受信者が返信する際に実際には攻撃者のサーバーに転送されるように仕組まれています。

 

同時に、類似ドメイン戦術を使用してE国のエネルギー会社の役員になりすましたメールを送信します。このメールは、微妙に変更されたメールアドレスを使用して、被害者が馴染みのある送信者からのものと認識するようにしています

 

§ 第三段階

 

情報収集及び監視の拡大

 

C国はこれらの攻撃を通じて得た情報を利用して、D国とE国の軍事戦略、エネルギー資源管理計画、および政治的動向を把握します。また、C国は自国内外の反対派に対する監視を強化し、そのコミュニケーションネットワークに侵入して反対派の活動を制限し、政治的安定を維持しようとします。

 

§ 結果及び影響

C国の複雑ななりすましメール作戦は、地域の政治的バランスに影響を与え、国際的なサイバーセキュリティ環境に新たな課題を提示します。このような攻撃は、国家間の信頼を弱体化させ、国際的な緊張を高める可能性があります。各国はこれに対する効果的な対応戦略を講じる必要があります。

 

参考資料

<2024グーグルのサイバー脅威展望>

https://cloud.google.com/resources/security/cybersecurity-forecast

<Revised baseline text for X.1221 (Xsr-ctea): Security requirements and countermeasures for targeted email attacks (for consent)>

ITU-T Recommendation database