NSAとFBIは、北朝鮮に関連したハッキンググループAPT43が、スピアフィッシング攻撃を隠蔽するために脆弱な電子メールDomain-based Message Authentication Reporting and Conformance (DMARC)ポリシーを悪用していると警告した。
米国務省とともに、両機関は、攻撃者が誤った設定のDMARCポリシーを悪用して、ジャーナリスト、学者、東アジア問題の専門家など、信頼できる情報源から送信されたように見せかけたなりすましメールを送信していると警告している。
「朝鮮民主主義人民共和国は、このようなスピアフィッシング・キャンペーンを利用して、地政学的な出来事、敵対国の外交政策戦略、朝鮮民主主義人民共和国の利益に影響するあらゆる情報について、ターゲットの個人的な文書、研究、通信への不正アクセスを得ることで情報収集している」とNSAは述べている。
米国が認可した偵察総局(RGB)は、北朝鮮の主要な軍事情報組織であり、その下部組織である国家脅威グループAPT43(Kimsuky、Emerald Sleet、Velvet Chollima、Black Bansheeとしても追跡され、少なくとも2012年以降活動している)によって調整された広範な情報収集とスパイ活動の背後にある。
その目的は、北朝鮮の国家情報目標を支援し、政権の安全性と安定性に対する政治的、軍事的、経済的脅威の認知を妨害するために、米国、韓国、およびその他の関心国に関する最新の情報を保持することである。
NSAとFBIが昨年初めて明らかにしたように、APT43の工作員はジャーナリストや学者になりすましてスピアフィッシング・キャンペーンを行い、2018年以降、米国、欧州、日本、韓国のシンクタンク、研究所、学術機関、報道機関を標的にしている。
「Kimsukyアクターの主な任務は、政策アナリストやその他の専門家を危険にさらすことで、盗まれたデータと貴重な地政学的洞察を北朝鮮政権に提供することです」と、今週発表された共同勧告[PDF]で各機関は付け加えた。
「さらに、Kimsuky行為者は侵害に成功すると、より信頼性が高く効果的なスピアフィッシングメールを作成できるようになり、より機密性の高い、より価値の高いターゲットに対して活用できるようになる。
緩和策
これらの攻撃では、DMARCポリシーの欠落や、”p=none “設定のDMARCポリシーを悪用します。
これにより、ソーシャル・エンジニアリングや以前に侵害されたコンテンツを使用したAPT43のなりすましスピアフィッシング・メールがターゲットのメールボックスに届くようになります。
この脅威を軽減するため、FBI、米国務省、NSAは、組織のDMARCセキュリティ・ポリシーを更新し、「v=DMARC1; p=quarantine;」または「v=DMARC1; p=reject;」の設定を使用するよう防御者に助言している。
前者はDMARCに失敗したメールを隔離し、潜在的なスパムとしてタグ付けするようメールサーバーに指示し、後者はDMARCチェックに失敗したすべてのメールをブロックするようメールサーバーに指示します。
DMARCポリシーの “p “フィールドの設定に加え、組織のドメインから送信されたとされる電子メール・メッセージのDMARC結果に関する集計レポートを受け取るために、組織は “rua “などの他のDMARCポリシー・フィールドを設定することを推奨している。
Comments