公共機関とセキュリティ会社の最大の脅威、スピアフィッシング
公共機関とセキュリティ会社の最大の脅威、スピアフィッシング
要約
最近、スピアフィッシングの問題がますます大きくなっています。イランのハッカーグループCharmingCypressは中東の高官を、北朝鮮のハッカーはDMARCの脆弱性を悪用して米国と東アジアの専門家を、EUのハッカーはEU関連イベントを悪用して様々な組織を攻撃しています。これにより、サイバーセキュリティの重要性と効果的な防御戦略がさらに強調されています。
1. イランのハッカーが中東の高官をターゲットにしたスピアフィッシング攻撃
ワシントンに本社を置くサイバーセキュリティ会社Volexityは、イランのハッカーグループCharming Cypress(別名Charming Kitten、APT42、TA453)が中東の高官を標的としたスピアフィッシング攻撃を仕掛けていることを明らかにしました。 彼らはシンクタンク、NGO、ジャーナリストを標的にして政治情報を収集しています。Charming Cypressは、悪意のあるコンテンツへのリンクを送信する前に、長時間のメール会話を誘導するなどのソーシャルエンジニアリング戦術を使用しています。
特に、偽のウェビナープラットフォームを作成し、餌として使用するケースもありました。2023年9月と10月には、Rasanah International Institute for Iranian Studies (IIIS)を装ったスピアフィッシング攻撃が行われ、複数のタイプミスがあるスクワットドメインを使用して、実際のドメインになりすました。 これは、イランの政治に焦点を当てたリヤドにある研究機関になりすました。VolekCityの調査によると、偽のウェビナーポータルには相当な労力が費やされ、詐称された組織のロゴを含むインターフェースがあったとのことです。
上記の事例では、ハッカーグループは、長時間のメールでの会話を通じて信頼を築いた後、悪意のあるリンクを送信する巧妙なソーシャルエンジニアリング戦術と、偽のウェビナープラットフォームを作成し、被害者にマルウェアを含むVPNアプリケーションをインストールするように誘導しました。
これにより、サイバーセキュリティ会社であるVolekCityは、Rasanah Instituteを装ったフィッシング攻撃を受け、偽のウェビナーポータルを通じて情報を奪取される被害を受けました。
2.米国連邦機関、北朝鮮のスピアフィッシングキャンペーンを警告する。
米国連邦捜査局(FBI)、国務省、国家安全保障局(NSA)は、北朝鮮のサイバー脅威行為者が、不適切に設定されたドメインベースのメッセージ認証、報告、およびコンプライアンス(DMARC)ポリシーを悪用し、ソーシャルエンジニアリング試みを隠していると警告しています。 彼らは、ジャーナリスト、学者、または東アジア政策の専門家を装い、スピアフィッシングキャンペーンを行いました。 また、これらの攻撃は、病院や医療システムを含むさまざまな組織に「なりすまし」フィッシングメールを送信するために使用されました。
ハッカーはHappyDoorというマルウェアを使用して、病院のような医療機関を対象にスピアフィッシング攻撃を実行しました。 このマルウェアは、メールの添付ファイルとして配信され、感染したシステムから情報を盗み、バックドアを設置し、追加のハッキングを試みることができます。 これにより、被害を受けた病院は、システム麻痺や情報流出などの深刻な被害を受けました。
3. EUを狙ったスピアフィッシングキャンペーン
欧州連合(EU)内の組織が、EUの政治・外交イベントを悪用したスピアフィッシングキャンペーンの標的にされています。EUのコンピュータ緊急対応チーム(CERT-EU)の2023年脅威レポートによると、ハッカーはEUのアジェンダを利用して、悪意のある添付ファイル、リンク、または偽のPDF文書を含むメールを送信しています。
彼らは、スウェーデンのEU議会議長職、EU-ラテンアメリカ・カリブ共同体首脳会議(CELAC)、外交関係顧問団(RELEX)、EU LegisWriteプログラムなど、さまざまなEUのイベントに関連するコンテンツを餌にしています。 主な標的は、外交、防衛、運輸部門で働く個人や組織であり、ハッカーはしばしばEU機関の職員や公共行政担当者を装い、信頼性を高めています。
ハッカーはメール以外にも、WhatsAppメッセージやソーシャルメディアを利用した攻撃を行いました。 実際、あるEU機関の部門長を装ったメールやWhatsAppメッセージ、スミッシング(SMSフィッシング)攻撃などが含まれます。このようなスピアフィッシング攻撃は、EU内の政治的事件に関連し、被害者の信頼を得やすい方法で行われ、特に機密情報を奪取したり、システムにマルウェアをインストールする目的があります。
上記の事例で、EUは、ハッカーが被害者の信頼を得るためのフィッシングメールによる精巧なソーシャルエンジニアリング攻撃、メールだけでなく、様々なソーシャルメディアを利用した攻撃、外交/防衛/交通部門で働く上級公務員をターゲットにしたハッキングの危険にさらされるようになり、ハッカーがEU機関を装って機関の職員や行政担当者に偽装する詐称被害と、悪質なリンクや添付ファイルを介して悪性コードに感染し、情報が奪取される被害が発生しました。
結論
スピアフィッシング攻撃がますます巧妙化し、増加するにつれて、サイバーセキュリティの重要性がさらに強調されています。米国に位置するセキュリティ専門会社ブラックシティだけでなく、米国連邦機関、欧州連合(EU)など、私たちがよく知っている公共機関や政府もこのような攻撃に脆弱な場合があります。
サイバー脅威に効果的に対応するためには、最新のセキュリティ技術を導入することが不可欠です。ITUが定めた国際電子メールセキュリティ標準案は、スピアフィッシング攻撃を事前に遮断するのに大きな助けになります。 また、持続的なセキュリティ教育と情報共有を通じて、公共機関と民間企業間の協力を強化する必要があります。 これにより、各機関と企業は最新の脅威動向と対応戦略を共有し、リアルタイムで脅威情報を交換してより迅速に対応することができます。
官民双方が協力してサイバーセキュリティを強化することは不可欠です。 特に、ユーザー教育を強化し、個人が不審なメールやリンクを認識し、適切に対応する能力を養う必要があります。高度化するスピアフィッシング攻撃に対応するためには、技術的、教育的、協力的な側面からの総合的なアプローチが必要です。
もし、スピアフィッシングによる攻撃の種類についてもっと詳しく知りたい方は、以下のリンクをご参照ください。
https://mailinspector2.blogspot.com/2023/10/understanding-email-attacks-and.html
https://mailinspector2.blogspot.com/search/label/Social%20Enigneering
参考資料
<イランのハッカーたちがスピアフィッシング攻撃で中東の専門家を標的にしました>
https://www.iranintl.com/en/202402164333
<北朝鮮のスピアフィッシング活動について、関係機関のサイバー注意報発令>
<電子メール攻撃に使用される新しい悪性コード「ハッピードア」を使用する北朝鮮ハッカー>
https://cybersecuritynews.com/north-korean-hackers-happydoor-malware/#google_vignette
<ハッカーたちは、スフィア フィッシング キャンペーンでEUの議題を悪用します>
https://www.infosecurity-magazine.com/news/hackers-exploit-eu-agenda-spear/