43か国で数千の被害者に影響を与えた「サービスとしてのフィッシング」作戦を阻止した後、インターポールは最近、「フィッシングなどのサイバー攻撃は本質的に国境がなくバーチャルなものかもしれませんが、被害者への影響は現実的で壊滅的なものです。」FBIによれば、Businessメール詐欺(BEC)はマルウェアレス攻撃の一種で、受信者を騙して資金を振り込ませるなどして、世界中の被害者に500億ドル以上の損害をもたらしています。
成功につながるサイバー攻撃の90%が メール フィッシング から始まっていると推定されており、メールフィッシングは攻撃者にとって非常に高収益を上げ続けています。現在、フィッシング攻撃を阻止するためにできることはあまりありません。しかし、攻撃の成功を防ぐためには、「既知の」メール送信者に対する被害者の信頼を攻撃者が巧妙に悪用する方法など、進化するフィッシングの傾向を理解すること(そして積極的に対処する)が重要です。そのために、Cloudflareは今週、初のフィッシング脅威レポートを発行しました。
本レポートでは、2022年5月から2023年5月までのメールセキュリティデータを基に、主要なフィッシングの傾向の調査結果とそれに関する推奨事項を解説します。この期間中、Cloudflareは約 130億件のメールを処理し、この中にはお客様の受信トレイに到達しない約2億5000万件の悪意のあるメッセージをブロックすることも含まれていました。また、本レポートは、北米、EMEA、APAC地域のセキュリティに関する意思決定者316名を対象に実施されたCloudflareの委託調査データにも基づいています(調査結果は こちら からダウンロードできます)。
報告書全文をご覧いただくと、以下の3つの重要なポイントを確認することができます:
フィッシングに第1位の手口である欺瞞的リンクを使用する攻撃者 — また、クリックさせるための方法、リンク先を武器化するタイミング、その進化について
ID詐称はさまざまな手法で行われ(ビジネスメール詐欺(BEC)や企業・ブランドのなりすましなど)、標準的なメール認証を簡単に突破できます。
攻撃者は数百もの異なる組織になりすましますが、主に私たちが信頼を置く事業体に成りすまし、仕事を成し遂げる必要があります。
その他、2023年フィッシング脅威レポートを読む上で留意すべき点がいくつかあります。
攻撃者は通常、ソーシャルエンジニアリングと技術的な難読化テクニックを組み合わせて、メッセージを正当なものに見せかけます。そのため、Cloudflareは高度な検出技術を駆使して「ファジー」シグナル(目に見えるコンテンツだけでなく)を分析し、迷惑メールを識別しています。これらのシグナルには以下が含まれます。
構造的分析:ヘッダー、本文、画像、リンク、添付ファイル、ペイロードなどを、ヒューリスティックおよび機械学習モデルを活用して分析します。これらのモデルは、フィッシングのシグナル検出に特化して設計されています。
センチメント分析: パターンと行動傾向(文章のパターンや表現など)の変化の検出
トラストグラフ: パートナーのソーシャルグラフ、メール送信履歴、パートナーなりすましの可能性を評価
当社のメールセキュリティサービスには、Cloudflareのグローバルネットワークからの脅威インテリジェンスも組み込まれており、1日平均1,400億件のサイバー脅威をブロックしています。
このようなシグナルやその他多くのシグナルを活用して、悪質のある、BEC、なりすまし、スパムとしてメールを処理します。当社のダッシュボードは、それぞれのメールに対する処理された具体的な理由(つまり、脅威インジケータの「カテゴリー」)をお客様に通知します。
以下は、2022年5月2日から2023年5月2日の間に観測された上位の電子メール脅威インジケーターのスナップショットです。脅威指標を 30を超えるさまざまなカテゴリーに分類しています。この期間の上位の脅威指標には、偽装リンク、ドメインエイジ(新規登録ドメイン)、ID詐称、クレデンシャルハーベスティング、企業・ブランド偽装などが含まれていました。
以下は、各上位カテゴリーについての簡単な説明です(詳細についてはレポートの付録を参照)。
クリックすると、詐欺的なリンクはユーザーのデフォルトのWebブラウザを開き、リンクで参照されるデータをレンダリングするか、アプリケーション(PDFなど)を直接開きます。HTMLのリンク(つまり、ハイパーテキスト)の表示テキストは任意に設定できるため、攻撃者は、実際には悪意のあるURLであるにもかかわらず、あたかも正規のサイトにリンクしているかのように見せかけることができます。
ドメイン年齢は、ドメインレピュテーション(ドメインに割り当てられる総合スコア)に関連しています。例えば、ドメイン登録直後に大量の新規メールを送信するドメインは、評判が低くなり、スコアが低くなります。
ID詐称 は、攻撃者または悪意を持った人物が、他の誰かになりすましてメールを送信する時に発生します。そのメカニズムや戦術は、大きく異なります。いくつかの手口には、似たようなドメインを登録する(つまりドメインのなりすまし)、スプーフィングしたり、表示名のトリックを使って、信頼できるドメインからのものであるように見せるものもあります。その他のバリエーションとしては、ドメインフロンティングや評判の高いWebサービスプラットフォームを使ったメール送信などがあります。
クレデンシャルハーベスター:攻撃者が仕掛ける、ユーザーを欺いてログイン認証情報を提供させるためのものです。ユーザーが気付かずに資格情報を入力してしまうと、攻撃者に自身のアカウントへのアクセスを提供してしまうことになります。
企業・ブランド偽装とは、攻撃者が認識可能な企業またはブランドになりすましてフィッシングメッセージを送信する、なりすましの一形態です。企業・ブランド偽装は、幅広い手法を用いて行われます。
メールの添付ファイルで、攻撃の文脈で開いたり実行されたりすると、行動喚起(ターゲットにリンクをクリックするように仕向けるなど)したり、攻撃者が設定した一連のアクションを実行したりします。
Cloudflareは、1通のフィッシングメールに対して複数の脅威指標を定期的に観測しています。例えば、シリコンバレー銀行を模したあるフィッシングキャンペーン(こちらの2023年3月のブログで詳述)は、企業・ブランド偽装、欺瞞的リンク、悪意のある添付ファイルが組み合わされたものでした。
攻撃者はDocuSignを模したテンプレートでSVBのブランドを扱っていました。このメールには、最初のリンクと4つの複雑なリダイレクトチェーンを含むHTMLコードが含まれていました。この攻撃の一部であるHTMLファイルは、受信者を再帰的リダイレクト機能を持つWordPressインスタンスに送ることになります。
(リンクに関して言えば、不正なリンクは脅威カテゴリの第1位であり、当社の検出の35.6%に登場しています。また、攻撃者はメールチャネルのリンクだけを使用しているわけではありません。SMS/テキスト、チャット、ソーシャルメディアなどの他のアプリケーションを悪用する、マルチチャネルのフィッシングの脅威の増加もレポートで取り上げられています)。
Silicon Valley銀行は、2022年5月から2023年5月にかけて、Cloudflareの顧客を狙った電子メールの中で当社がなりすましの対象となった約1,000の異なるブランドの1つに過ぎませんでした。(2022年7月にCloudflare Oneの製品スイートが阻止した「Oktapus」フィッシング攻撃では、ブランドなりすましを通じてCloudflareの従業員が直接の標的となりました)。
一方、フィッシング脅威レポートに詳述されているように、メール攻撃者は20の有名グローバルブランドのいずれかになりすますことが最も多く(51.7%)、 Microsoft がそのリストの1位でした。
| ランク |
なりすまされたブランド |
| 1 |
Microsoft |
| 2 |
世界保健機関(WHO) |
| 3 |
Google |
| 4 |
スペースX社 |
| 5 |
Salesforce |
| 6 |
Apple |
| 7 |
Amazon |
| 8 |
T-モバイル社 |
| 9 |
YouTube |
| 10 |
マスターカード社 |
| 11 |
Notion.so |
| 12 |
コムキャスト社 |
| 13 |
Line Pay |
| 14 |
MasterClass |
| 15 |
Box |
| 16 |
トゥルイスト・ファイナンシャル |
| 17 |
Facebook |
| 18 |
Instagram |
| 19 |
AT&T |
| 20 |
Louis加わる体制 |
今年初め、Cloudflareは正規の(しかし侵害された)サイトを通じて認証情報を採取しようとする、Microsoftブランドを活用したフィッシングキャンペーンを検知し、ブロックしました。
下のEメールの例では、見た目とは裏腹にメール本文にテキストはありません。本文全体がハイパーリンクの対象となるJPEG画像です。そのため、受信者が(リンクをクリックするつもりがなくても)本文中のどこかをクリックすれば、事実上リンクをクリックしたことになります。
一見すると、この画像のハイパーリンクは無害のBaidu URL、hxxp://www.baidu[.]com/link?url=-yee3T9X9U41UHUa3VV6lx1j5eX2EoI6XpZqfDgDcf-2NYQ8RVpOn5OYkDTuk8Wg#<base64でエンコードされた受信者のメールアドレス > であるように見えます。しかし、このリンクがクリックされてしまうと、標的のブラウザは侵害/危害を受け、クレデンシャルハーベスターをホストするために使用されたサイトにリダイレクトされます。
攻撃者はMicrosoft Office 365のブランディングを使用しましたが、(企業・ブランドを特定するために検査できるプレーンテキストやHTMLテキストは存在させず)画像内にブランド情報を含めることでブランド検出技術を回避しようとしました。
しかし、Cloudflareは光学文字認識(OCR)を使用することで、画像内の「Office 365」と「Microsoft」の識別に成功しました。また、OCRを使用することで、私たちはパスワードに関連する不審なアカウントを釣ろうとする内容も確認することができました。
この例では、攻撃者の手口には次の内容が含まれていました:
JPEG画像のみを掲載(OCRを使用しなければ単語検出は不可能)
その画像にハイパーリンクを埋め込む(本文中のどこをクリックしてもリンクがクリックされる)
Baidu URLへのハイパーリンク(レピュテーションベースのURL検出技術を回避するために使用)
Baidu URLが受信者のブラウザをクレデンシャルハーベスティングサイトにリダイレクトさせる(これによりディープリンク検査ができない他の電子メールセキュリティ防御を回避)
攻撃者によって侵害された正規サイト上でクレデンシャルハーベスターをホスティングする(ディープリンク検査を使用しても、レピュテーションに基づくUR 検出技術を再びバイパスする)
この攻撃ベクトルは、Baiduの高い評価と信頼性を利用し、クレデンシャルハーベスターがホストされている真のホスト/IPのレピュテーションをバイパスします。
この特定のキャンペーンは Microsoft の認証情報を収集することに重点を置いていましたが、攻撃者がブランド検出技術を回避し、被害者をだまして マルウェア やその他の 悪意のあるペイロード をダウンロードさせるために、同様の方法を使用しているのをよく目にします。
URLリダイレクト手法はフィッシングキャンペーンでよく見られますが、脅威アクターはbaidu.com、bing.com、goo.gl など当社の多数の検出機能により、正当なドメインを悪用するものを含め、あらゆる種類のリダイレクトテクニックを用いてURLのディープリンク検査を実施することができます。
メール認証(具体的には SPF、DKIM、DMARC 標準)は、企業・ブランド偽装に有効であるとして度々言及されます。これらの標準は、サーバーやテナントのオリジンの検証、メッセージの完全性の保護、ポリシーの実施などに役立ちます。
しかし、それでも攻撃者は認証をバイパスしてメールスイートを騙す方法を見つけることができます。実際に89%の迷惑メッセージが「通過」SPF、DKIM、DMARCのチェックをしていることが確認されています。
メール認証の制限には、以下のようなものがあります:
SPF(Sender
Policy Framework) |
主な利点:
サーバーオリジンの検証(メッセージの発信元を検証)
ドメイン所有者に代わってメッセージの送信が許可されるメールサーバーやサービスを定義 |
制限:
酷似したメールアドレス、ドメイン、または表示名の なりすましを
防ぐことができません。
「From」ヘッダーの検証はしません。エンベロープの「From」を使用して、送信ドメインを決定するために検証を行うことは、メールが転送された場合、メーリングリストに送信されたメッセージが各受信者に送信される場合、効果的でないURLが埋め込まれたメール、 悪意のあるペイロード 、または添付ファイルを |
DKIM
(ドメインキー識別メール) |
主な利点:
送信元テナントの検証機能を提供(電子署名を介して、メールがドメインの所有者によって送信/承認されたものであることを確認する)
サーバー間の転送中にメールが改ざんされないことを保証する。メッセージの完全性を保護 |
制限事項:
酷似したメールアドレス、ドメイン、または表示名のなりすましを防ぐことができません。
リプレイ攻撃からは保護されません(DKIMはメッセージの特定の部分に署名するだけです。攻撃者はDKIMを通過したメールに他のヘッダーフィールドを追加して転送することができます)
「検証済み」となったメールの、URLが埋め込まれたもの、悪意のあるペイロード、添付ファイルを使用した攻撃からは保護されません。 |
| DMARC(ドメインベースのメッセージ認証、レポートおよび適合性) |
主な利点:
SPFおよびDKIMのポリシーの適用とレポートの提供
メールがSPFまたはDKIM認証を通過しなかった場合に、従うポリシーを規定(例:拒否/削除、隔離、ポリシーなし/送信)
レポーティング機能により、ドメイン所有者は誰が誰かを確認できます。メールの送信(独自ドメインのなりすましやブランドの悪用からの保護など) |
制限:
他社ブランドドメインのなりすましを防止できない
類似メール、ドメイン、または表示名のなりすましを防止できない
ドメイン所有者は、DMARCポリシーが適用されるメールの割合を指定する。適用率が100%未満の場合、効果が低下します。
「検証済み」となったメールの、URLが埋め込まれたもの、悪意のあるペイロード、添付ファイルを使用した攻撃からは保護されません。 |
攻撃者は常に戦術を進化させています。メッセージが受信トレイに届く前、届いている最中、そして届いた後にも、複数の保護レイヤーを設置する必要があります。Cloudflareは、いかなる種類のメール通信(送信者が内部、外部、または「既知の」ビジネスパートナーであるかにかかわらず)も本質的に「信頼」することはありません。
同様に、私たちは、何よりもまず、すべての組織が、ネットワークやアプリケーションだけでなく、メールの受信トレイにも「決して信用せず、常に検証する」というZero Trustセキュリティモデルを拡張することを推奨します。
Zero Trustアプローチによるメールの保護に加えて、以下をお勧めします。
複数のフィッシング対策機能でクラウドメールを強化します。 6月のForrester社のブログこちらで指摘されているように、「複数のデバイスでメッセージング、コラボレーション、ファイル共有、エンタープライズSoftware-as-a-Serviceアプリケーションを使用することは、すべて従業員の生産性とエクスペリエンスに貢献します。これらの環境の多くは「クローズド」と見なされていますが、サプライチェーンパートナーの認証情報のフィッシングが1件成功すると、組織はデータ損失、認証情報の盗難、詐欺、ランサムウェア攻撃にさらされることになります。メールの受信トレイ用に開発された保護は、これらの環境や従業員の日々のワークフロー全体にまで拡張する必要があります。」
フィッシングに強い多要素認証(MFA)を採用する。すべてのMFAが同じセキュリティレイヤーを提供するわけではありませんが、ハードウェア・セキュリティ・キーは フィッシング攻撃を防ぐ ための最も安全な認証方法の一つです。たとえ攻撃者がユーザー名とパスワードを入手した場合でも、ネットワークを保護することができます。
人間がミスを犯しにくくします。 従業員やチームがすでに使用しているツールの安全性を高め、ミスを防ぐことで、従業員やチームのニーズに対応します。例えば、リモートブラウザ分離(リモートブラウザ分離)技術をクラウドメールセキュリティと連携させることで、疑わしい電子メールリンクを自動的に隔離し、ユーザーが潜在的に悪意のあるWebコンテンツにさらされることを防ぐことができます。キーボード入力は、信頼できないWebサイトでは無効にすることもでき、ユーザーがフォーム入力やクレデンシャルハーベスティングに誤って機密情報を入力しないよう保護します。これにより、ユーザーはワークフローを中断することなく、リンクを安全に開くことができ、マルチチャネルフィッシング攻撃に対する防御層となります。
詳細な調査結果にご興味がある方は、こちらから「フィッシング脅威レポート2023」をダウンロードすることができます。また、フィッシング攻撃を成功させないための推奨事項も掲載しています。また、Cloudflareのメールセキュリティの実例をご覧になりたい方は、こちらから無料のフィッシングリスク評価をご依頼ください。