【スピアフィッシング】標的型攻撃の実態と防御方法
【スピアフィッシング】標的型攻撃の実態と防御方法
イントロ/背景
スピアフィッシングは、個人や組織に対して深刻な脅威をもたらしています。スピアフィッシングは、特定の個人や組織を精密にターゲットとし、攻撃するためにメールを利用する手法です 攻撃者は信頼できる送信元からのメールのように見せかけ、被害者が疑わずにメールを開くように誘導します。
このようなメールには、悪意のあるリンクや添付ファイルが含まれており、被害者の個人情報や機密情報を盗み出したり、システムに損害を与える可能性があります。今回は、この「スピアフィッシング」の仕組みと予防方法について詳しく説明します。
定義
スピアフィッシングとは、特定の個人、グループ、または組織をターゲットにするフィッシング攻撃の一種です。このようなパーソナライズされた詐欺は、被害者を騙して機密データを公開させたり、マルウェアをダウンロードさせたり、攻撃者にお金を送らせたりすることを目的としています。一般的なフィッシングとは異なり、スピアフィッシングは被害者の個人情報を利用して、より巧妙で信頼性のある攻撃を行います。
危険性
- 個人情報漏えい: 攻撃者はターゲットの機密情報を盗み、悪用する可能性があります。
- 財政的損失: 企業は金銭的な被害を受けたり、顧客の信頼を失ったりすることがあります。
- システム損傷: マルウェアによってシステムが損傷を受ける可能性があります。
- 評判の損傷: 企業の評判が損なわれる可能性があり、法的責任を負う可能性もあります。
事例
https://mailinspector2.blogspot.com/2024/07/spear-phishing-major-threats-faced-by.html
2023年9月と10月に、ワシントンに本社を置くサイバーセキュリティ会社Volexityは、イランのハッカーグループCharmingCypress(別名Charming Kitten、APT42、TA453)が中東の高官を対象に高度なスピアフィッシング攻撃を行っていることを明らかにしました。CharmingCypressは、シンクタンク、NGO、ジャーナリストをターゲットにして政治情報を収集するために、悪意のあるリンクを含むメールを送信する前に、長時間にわたるメールのやり取りを誘導する社会工学的戦術を使用しました。
特に、彼らは偽のウェビナープラットフォームを作成して被害者を誘引する手法を使用し、Rasanah International Institute for Iranian Studies(IIIS)を装ったスピアフィッシング攻撃を行いました。CharmingCypressは複数のタイプミスを含むスクワットドメインを使用して実際のドメインになりすまし、リヤドにある研究機関のロゴやインターフェースを含む精巧な偽ウェビナーポータルを作成し、ターゲットを騙しました。
Volexityの調査によると、この偽のウェビナーポータルには相当な労力がかけられており、攻撃者がどれほど高度な戦略を使用しているかが伺えます。このような事例は、スピアフィッシング攻撃がますます巧妙化していることを示しており、それに対する警戒心を高める必要があることを示唆しています。
攻撃の原理
4-1. 社会工学的手法
: ターゲットの信頼を得るために、ターゲットの個人的、職業的な情報を収集し、カスタマイズされたメッセージを作成します。
信頼関係の構築
- 攻撃者はターゲットの信頼を得るために、ターゲットの趣味、関心、職業関連の情報などを収集します。
- この情報を基に、ターゲットが信頼できると思う人物になりすまして接近します。
- 例: 攻撃者がターゲットの同僚や上司を装ってメールを送る場合。
緊急状況の演出
- 攻撃者はメールで緊急事態を装い、ターゲットが迅速に行動するように誘導します。
- 例: 「緊急: あなたのアカウントがハッキングされました。今すぐパスワードを変更してください!」
4-2. メールスプーフィング
: 送信者のアドレスを偽装し、ターゲットが信頼できる人物や機関から送られたように見せかけてメールを送信します。
送信者アドレスの偽装
- 攻撃者は、ターゲットが信頼する人物や組織のアドレスに見せかけて、メールの送信者アドレスを偽装します。
- これにより、ターゲットがメールを開くように仕向けます。
- 例: 会社のIT部門を装ってセキュリティアップデートを要求するメール。
ドメインスプーフィング
- 攻撃者は実際のドメインに似たドメインを使用してメールを送信します。
- これはターゲットにメールを信頼させるための手法です。
- 例: 「example.com」の代わりに「examp1e.com」のような類似ドメインを使用する場合
4-3. 悪意のあるリンク/添付ファイル
: ターゲットがクリックしたり、ダウンロードしたりすると、マルウェアがインストールされるリンクや添付ファイルが含まれています。
悪意のあるリンクの挿入
- 攻撃者はメール本文に悪意のあるリンクを挿入し、ターゲットがクリックするように誘導します。
- リンクをクリックすると、悪意のあるウェブサイトに移動したり、マルウェアがダウンロードされたりします。
- 例: 「ここをクリックしてあなたのアカウントを確認してください」といったリンク。
悪意のある添付ファイルの含有
- 攻撃者は、マルウェアが含まれたファイルをメールに添付します。
- ターゲットがファイルを開くと、システムが感染する可能性があります。
- 例: 「重要な書類です。添付ファイルを確認してください」といった内容のメール。
4-4. 偽サイトの作成
フィッシングサイトの作成
-
- 例: 銀行のウェブサイトを模倣したフィッシングサイト。
- 攻撃者は、本物のウェブサイトに似たフィッシングサイトを作成し、ターゲットがログイン情報を入力するように誘導します。
- この情報を利用して、攻撃者はターゲットのアカウントにアクセスすることが可能になります。
偽のウェビナープラットフォーム
-
- 例: 「新しいセキュリティアップデートのためのウェビナーに参加してください」といったメール。
- 攻撃者は偽のウェビナープラットフォームを作成し、ターゲットが悪意のあるVPNアプリケーションをインストールするように誘導します。
- これにより、システムを掌握することが可能になります。
攻撃の種類
スピアフィッシングは、特定の個人、グループ、または組織をターゲットにしたフィッシング攻撃の一種です。こうしたパーソナライズされた詐欺は、被害者を欺いて機密データを漏洩させたり、マルウェアをダウンロードさせたり、攻撃者にお金を送らせたりします。
スピアフィッシングは社会工学的なメール攻撃の一種ですが、マルウェアを含むメールでユーザーを騙すため、マルウェア攻撃の側面も含まれています。
それでは、各攻撃の種類について詳しく見ていきましょう。
まず、ゼロデイマルウェア攻撃、添付ファイル内のマルウェア攻撃、URL内のマルウェア攻撃などがあるマルウェア攻撃について説明します。
5-1 ゼロデイマルウェア攻撃
ゼロデイの脆弱性を利用して、セキュリティシステムが検知できない未知のマルウェアを含む添付ファイルやクリック可能なリンクを挿入し、ユーザーがクリックしてはいけない場所をクリックするように誘導するメールを送信して被害を与える手法です。
5-2 添付ファイル内のマルウェア攻撃
悪意のあるメール添付ファイルは、攻撃者が通常メールで送信するファイル内にマルウェアを隠す一種の脅威です。添付ファイルは、文書、実行ファイル、画像、ビデオファイルに偽装されることがあり、別の拡張子で暗号化されて送信される場合もあります。実行ファイルを使用した攻撃では、送信者アドレスを偽装して、受信者がマルウェアを含む文書を開くように仕向けることがあります。
5-3 URL内のマルウェア
悪意のあるURL攻撃は、ユーザーを悪意のあるウェブサイトに誘導することを目的として、メール内にマルウェアが含まれたクリック可能なリンクを挿入して行われる攻撃です。悪意のあるURLは、大きな添付ファイルやメール本文に含まれることもあり、ユーザーがメールや添付ファイルからURLをクリックする際に、送信後もゼロデイ攻撃としてマルウェアが実行されることがあります。
次に、ヘッダーの偽装や改ざん、類似ドメイン、アカウント乗っ取り(ATO)、URLフィッシングなど、社会工学的メール攻撃について説明します。
5-4 ヘッダーの偽装・改ざん
ヘッダーの偽装・改ざんは、社会工学攻撃の一種で、攻撃者がヘッダー内のアカウント情報を偽装し、セキュリティソリューションの検知を回避する手法です。攻撃者は主にメールヘッダーを偽装し、ユーザーがメールを送信する際にメールの送信先を迂回させます。この攻撃により、攻撃者はユーザーのメールを傍受でき、そのメールには会社の重要な機密情報や個人情報が含まれている可能性があります。
5-5 類似ドメイン
類似ドメインは、人の目で区別しにくい一般的で馴染みのある類似したメールアドレスを作成し、悪意のあるメールを送信する攻撃の一種です。たとえば、大文字の「I」と小文字の「L」は外見が非常に似ており、この類似性が攻撃で悪用されることがあります。
5-6 アカウント乗っ取り (ATO)
ATO(アカウント乗っ取り)は、実際のユーザーのアカウントを不正に取得して使用する攻撃です。攻撃者は盗まれたメールアカウントにログインし、ユーザーのメール履歴を閲覧して機密情報や潜在的な2次被害者の情報を盗みます。たとえば、攻撃者が盗んだアカウントを装い、業務でメールをやり取りしていた潜在的な2次被害者に対して送金口座の変更を依頼し、金銭的な被害を引き起こす可能性があります。
5-7 URLフィッシング
URLフィッシングは、被害者のIDやパスワードを盗むことを目的とした攻撃です。攻撃者はフィッシングページやウェブサイトを作成し、被害者が悪意のあるURLをクリックして個人情報やアカウント情報を入力するように誘導します。
これらの攻撃についてさらに詳しく知りたい場合は、以下のブログをご参照ください。
https://mailinspector2.blogspot.com/
予防方法
では、これらの恐ろしいスピアフィッシング攻撃をどのように防ぐことができるのでしょうか?
スピアフィッシングを予防するための方法は以下の通りです。
- 教育および意識向上
- 定期的なセキュリティ教育: 従業員にスピアフィッシング攻撃の危険性と、その認識方法を教育します。実際のフィッシング事例を使用して実習を行います。
- 疑わしいメールの識別: 不明瞭な送信者、文法の誤り、緊急の行動要求などが含まれるメールを識別する方法を教育します。
- 多要素認証(Multi-Factor Authentication, MFA)
- 追加の認証ステップ導入: アカウントアクセス時に、パスワードに加えて追加の認証ステップを要求し、アカウント乗っ取りを困難にします。
- メールフィルタリングおよびスパムブロック
- 高度なメールフィルタの使用: スパムフィルタとメールセキュリティソリューションを使用して、疑わしいメールを事前にブロックします。
- セキュリティソフトウェアの使用
- 最新のアンチウイルスソフトウェアのインストール: 定期的に更新されるアンチウイルスおよびアンチマルウェアソフトウェアをインストールし、システムを保護します。
- 疑わしいメールの検証
- メール送信者の確認: メールアドレスを確認し、疑わしい要求がある場合は、送信者に直接連絡して確認します。
- 最小権限の原則適用
- 最小権限の原則: ユーザーに必要最低限の権限だけを付与し、攻撃にさらされるリスクを減らします。
- 機密情報の保護
- 機密情報の最小化: メールで機密情報をやり取りしないようにポリシーを整備し、必要な場合は暗号化されたチャネルを使用します。
スピアフィッシングを防ぐためには、このように多くの方法と特別な注意が必要です。
しかし、簡単かつ迅速に予防する方法もあります。それは、ITU(国際電気通信連合)が定めた国際メールセキュリティ標準をすべて遵守しているセキュリティソリューション製品を使用することです。これにより、こうしたリスクからメールを安全に守ることができます。
結論
スピアフィッシング攻撃がますます高度化し増加する中で、サイバーセキュリティの重要性が一層強調されています。特に、CharmingCypressのようなハッカーグループが新たな社会工学的手法を駆使して特定のターゲットを狙う事例は、公的および民間の両セクターにおいて大きな警鐘を鳴らしています。
スピアフィッシング攻撃の危険性は、単なる情報漏洩にとどまらず、財政的損失、システムの損傷、評判の毀損など、多様な形で現れる可能性があります。そのため、こうした脅威に対処するためには、最新のセキュリティ技術の導入と定期的なセキュリティ教育が不可欠です。特に、国際標準に基づくセキュリティ要件を遵守することで、マルウェアや社会工学的攻撃に効果的に対応することができます。
参考資料
<What is spear phishing?>
https://www.ibm.com/topics/spear-phishing
<Iranian Hackers Target Mideastern Experts In Spear-Phishing Attacks>