ハッカーがフィンガープリントとレピュテーションベースのメールセキュリティを打ち破る4つの方法

メールセキュリティは世界中の企業や組織にとって最大の懸念となっています。最近減りつつあったランサムウェアが戻ってきました。2019年に、ランサムウェアが米国各地の市政全体をシャットダウンさせる一方、欧州では、製造業と医療産業において大規模なランサムウェア攻撃が実行されました。

Dattoの『European State of the Channel Ransomware』(チャンネルランサムウェアのEU加盟国)レポートによると、マネージドサービスプロバイダー各社が、フィッシングがランサムウェアの最大の伝達方法 (MSP) であると報告しています。SaaSアプリケーションでのランサムウェアを報告したMSPのうち、49%がOffice 365のランサムウェア感染を報告しています。

企業と行政当局が、数十万ドルの身代金の支払いを含め、ランサムウェア攻撃からの復旧に奔走する間に、ハッカーたちはフィッシングテクニックを改良し、標準的なメールセキュリティフィルターを回避しつつあります。彼らがそのために使用するいくつかのテクニックをご紹介します:

1.IPとレピュテーションの不正使用

Secure Email Gatewaysなどの従来型の代表的なメールキュリティフィルター は、IPアドレスとドメインによって悪意のあるメール送信者を認識するよう設計されています。既知のメール脅威がIP、ドメイン、URLのブラックリストに追加され、ユーザーのメールボックスに到達するのを阻止します。

ハッカーたちは、「スノーシュースパム」や、偽の信頼できるIP(検出を逃れるためにさまざまなIPアドレスで少量のフィッシングメッセージを送信する) によって、これらの防御方法を回避する方法を習得しました。ドメイン名がブラックリストに追加されるのを防ぐために、サイバー犯罪者は、ドメインを動的に作成したり、レピュテーションの高いドメインをハイジャックしたり、ウェブサイト所有者が気付かないように正当なウェブサイトをハッキングしてドメイン名を悪用したりします。

2.フィンガープリントの難読化

ほとんどの犯罪者は、望むと望まざるとに関わらず、シグナチャーまたは「フィンガープリント」を残します。フィッシングの場合は、フィンガープリントには、ヘッダーや件名、本文、フッターなど、メールの固有の識別子が含まれています。フィッシングメールがメールフィルターにとって既知のものである場合、それを検出してブロックするのは簡単です。サイバー犯罪者は、自身のフィンガープリントを難読化することでこの防御を回避します。

その1つの例は、メール本文に、正当なコンテンツと不正なコンテンツを混ぜることによるものです。例えば、ハッカーはメールに正当なMicrosoftウェブページへのリンクを挿入します。メールフィルターがスキャンを開始し、健全なURLを検出してメールを安全なものと判断します。この手法のその他の例には、既知のフィッシングメールをランダムな文字列やHTML属性でコード化するなどの方法があります。この場合は、コードが既知のフィッシングフィンガープリントから僅かに変更されているため、フィルターを回避することができます。

このタイプの難読化は、メールをフィッシングとしてすでに報告しているメール受信者にとって特にいら立たしいものです。ユーザーは数日前に報告したのと同じメールを受信していることに気付きますが、メールフィルターはそれを認識できません。視覚的には、これらのメールは同じものですが、メールのコード(ユーザーの目には見えない)が変更されているため、メールを人間のように見ることができないフィルターには固有のものとして認識されます。

3.テキスト分析の難読化

フィンガープリント難読化のもう一つの例では、フィッシングメールに僅かなコンテンツが含まれているか、何も含まれていないものがあり、フィルターを混乱させてテキスト分析を回避します。例えば、フィッシングメールによっては、フィッシングメールの本文がテキストではなく画像になっていることがありますが、目では見分けがつきません。画像自体がフィッシングリンクであり、ウェブページにホストされた画像です。

サイバー犯罪者がテキスト分析を逃れるもう一つの方法は、フィルターが判断を下せないような僅かなコンテンツをメールに含める手法です。その他のケースでは、ホモグラフや他の言語の似た文字をテキストに追加します。例えば、裸眼では、ドメイン名の中のキリル文字の「а」はラテン文字の「а」とほとんど見分けがつきません。上述のフィンガープリント難読化の例と同様、テキストをコードで難読化したフィッシングメールは、フィルターには全く新しいメールに見えますが、ユーザーには同じメールであることは明らかです。

4.URLの難読化

フィッシングページを通じて認証情報を獲得することが、フィッシングの最終的な目的です。被害者をフィッシングページに誘導するには、メールのフィッシングリンクをクリックさせる必要があります。しかし、フィッシングリンクがフィルターに知られている場合は、メールがブロックされます。これを回避するために、サイバー犯罪者はさまざまな方法を用いてURLを難読化します。

URL難読化の一つの手法は、一つのウェブページから別のウェブページへユーザーを素早く移動させるためのメカニズム、リダイレクトを介するものです。Microsoftのフィッシングでは、サイバー犯罪者は、Microsoftの正当なリンクをメールに含めますが、一度フィッシングメールが受信者に上手く届くと、彼らはMicrosoftのウェブページをフィッシングページにリダイレクトします。この手法は「時限爆弾」的なURLとして知られており、リアルタイムのリンク調査なしでこれを検出するのは極めて困難です。

もう一つのURL難読化手法は、TinyURLやBitlyなどのURL短縮を用いるものです。短いURLを作成するために設計された、これらの無料ツールは、別名URLを作成し、フィッシングURLを難読化して、フィッシングシグナチャーを認識するよう設計されたメールフィルターを欺きます。

フィンガープリントとレピュテーション防御を超える

フィンガープリントとレピュテーションベースのフィルタリングは、かつては悪意のあるメールを阻止するための主要な方法でした。しかし、フィッシング手法の進化に対応して、メールセキュリティも進化する必要があります。マシーンラーニングは、フィンガープリントとレピュテーションベースの検出に依存する標準的なメールセキュリティフィルターでは不可能なレベルの分析を提供します。マシーンラーニングモデルは、URL構造、リダイレクト、ページ内の要素、およびウェブフォームの構造を分析しながら、リンクをリアルタイムで調査します。この「クリック時」のテクノロジーによって、URLが正当なウェブページに繋がっていることが保証されます。

ディープラーニングのサブセットの一つであるコンピュータビジョンは、URL調査とウェブページ調査の一歩先を行き、コードではなく画像を分析します。コンピュータビジョンは、上記の「リンクとしての画像」のように、ブランドのロゴやテキストベースの画像など、フィッシングメールでよく使用される画像や再使用される画像を認識します。さらに、セクストーションメールによく含まれているQRコードを見て分析することも可能です。人間が見るのと同じように画像を見ることで、コンピュータビジョンは、フィッシングメールを見ると、コードに何が含まれているかによらず、それがフィッシングであることを認識します。