ほとんどのメールセキュリティフィルターは、スパムメッセージが決して受信トレーに到達しないようにするには、非常に効率的です。ただし、より難問であることが証明されている、フィッシングをブロックすることに関しては、これらのフィルターはそれほど効率的ではありません。今日のフィッシングの手法は、非常に洗練されており、メールセキュリティフィルターをすり抜けて、顧客や従業員を標的にします。
上手く作られたフィッシングメールは、知られているブランドからの本物のメールと、(完璧ではないとしても)ほとんど同じに見えます。被害者は、信頼できるアカウントにログインしているものと思い込んで、MicrosoftやPayPalなどのよく知られているブランドからのフィッシングリンクをクリックします。いくつかのフィッシング攻撃では、被害者はサイバー犯罪者に自身の認証情報を知らずに与えてしまいます。その他のケースでは、被害者はマルウェアやランサムウェアをダウンロードするフィッシングリンクや添付ファイルをクリックしてしまいます。
以下のフィッシングの手法は、Office 365のセキュリティをすり抜けるために、サイバー犯罪者が使用する、高度に洗練された難読化技術です。ほとんどのケースでは、これらはユーザーの目には見えず、Exchange Online Protection (EOP) とsecure email gateways (SEG) を簡単にすり抜けてしまいます。
1.正当なリンクを使用する
ほとんどのメールフィルターは、 既知のフィッシングURLをスキャンします。検出を逃れるために、フィッシャーは フィッシングメールに正当なリンクを追加します。多くのメールフィルターは、正当なリンクの数をスキャンし、メールが健全なものであると判断します。Vadeが検出した最近のMicrosoft Office 365 フィッシングメールには、フィッシャーによって、正当な返信用メールアドレスとMicrosoftのコミュニティ、法的表記およびプライバシーポリシーのウェブページへの正当なリンクが埋め込まれていました。さらに、ユーザーがSharePointやOneDriveなどのアプリケーションのお気に入りの通信設定を更新できる、Microsoftのお気に入り連絡先ページへのリンクも埋め込まれていました。
Vadeが検出した、以下のウェルズ・ファーゴのフィッシングメールの例では、フィッシャーは銀行の詐欺情報センターへのリンクさえも埋め込んでいました。
2.正当なコードと悪意のあるコードを混ぜる
既知のフィッシングメールやマルウェアウィルスには、EOPが検出できるシグネチャーが含まれています。シグネチャーを難読化する手法の一つは、正当なコードと悪意のあるコードを混ぜることです。例えば、洗練されたMicrosoftのフィッシングページには、Office 365ログインページなどの、実際のMicrosoftウェブページからのCSSやJavaScriptが含まれています。その他の手法には、文字のランダムなコード化、見えないテキストの追加、空白の挿入、HTML属性へのランダムな値の割り当てなどがあります。正当なコードと悪意のあるコードを混ぜる目的は、それぞれのメールがフィルターにとって固有のものに見えることです。
3.リダイレクトと短縮サービスの悪用
フィッシングでは時間が鍵となります。被害者を何も問題はないと油断させるために、フィッシャーはフィッシング攻撃の後、彼らを正当なウェブページにリダイレクトします。例えば、ユーザーがフィッシングページで自分のOffice 365認証情報を入力した後、Office 365.comやMicrosoftのその他のウェブページにリダイレクトされます。
別の形でのリダイレクトの不正使用、「時限爆弾」は、正当なウェブページからフィッシングページへのURLリダイレクトの作成を伴う、フィッシングの手法の一つです。時限爆弾は、メールフィルターが最初にスキャンする受信時に、メールに正当なMicrosoftのリンクが含まれるため、非常に効率的です。フィッシングページへのリダイレクトは、メールが被害者に上手く届いた場合にのみ、作成されます。
既知のフィッシングURLを難読化するために設計されたもう一つのフィッシングテクニックでは、フィッシャーはTinyURLや BitlyなどのURL短縮サービスを利用します。これらのフリーツールが長いURLを短縮されたURL (元のURLとの類似性を持たないエイリアス) に変換します。シグネチャーをスキャンするフィルターの大半は、短縮されたフィッシングURLの中ではそれを認識しません。
4.ブランドロゴを難読化する
既知のフィッシングページのその他の要素と同様、ロゴには、メールフィルターがシグネチャーをスキャンして検出できる、HTML属性が含まれています。検出を回避するために、フィッシャーはブランドのロゴを裸眼では見えない形で、フィルターには固有なものに見えるように、改ざんします。例えば、色や形状などのHTML属性を1文字変えることで、シグネチャーは既存のフィッシングページのものとは異なる、固有のものとなります。この僅かな変更は、悪意のあるコンテンツをスキャンするものの、人間のように画像のレンダリングを分析はしない、メールフィルターをだますのには十分です。
5.僅かなコンテンツと過度のノイズでフィルターを混乱させる
中にはフィッシングメールに僅かなコンテンツだけを含めるか、何も含めないことで、検出を回避するサイバー犯罪者もいます。より多く見られる、この攻撃の1つのバージョンは、被害者の目にはそれがはっきりとは分からないように、テキストの代わりに画像を使用するものです。これは2018年に検出された大量のメール送信を含む、セクストーションメールによく見られる手法です。スキャンするコンテンツがないことで、フィルターはメールが安全であると思い込みます。次の例では、見えているテキストは実際は画像です。
これとは逆のアプローチは、メールに過度のコンテンツまたは「ノイズ」を詰め込むものです。 コードのランダム性のため、このテクニックは上手くゆきます。これには目的も意味もないため、フィルターを混乱させます。次の例では、フィッシャーがコードに『パルプ・フィクション』の中の台詞のラインを詰め込みます。
顧客を守るためにできることは?
ますます洗練されてゆくフィッシング攻撃には、より洗練された防衛手段が必要です。従来のメールフィルターでは不十分。Office 365を使用する顧客には、Microsoft Exchange Online Protection (EOP)で補完的なフィッシング対策のレイヤーを設ける必要がありますVade のクリック時フィッシング対策テクノロジーは、URLとウェブページをリアルタイムで巡回し、シグネチャーの難読化手法を特定することで上記のフィッシング手法をスキャンします。
