Phishing header

今日、ほとんどの組織が何らかのメールセキュリティ・ソリューションに投資している。しかし、最新のフィッシング攻撃に関しては、どんなに優れたツールでも大きな限界があります。

フィッシングは、セキュリティ製品やトレーニングへの莫大な投資にもかかわらず、以前と同様(それ以上でないとしても!)大きな問題となっています。IDSAによると、2024年にフィッシング・インシデントを経験した組織の割合は69%であった。

So, why are phishing attacks still so effective for attackers?
IDSA Digital Identities Report 2024
Source:IDSA

では、なぜフィッシング攻撃はいまだに攻撃者にとって効果的なのでしょうか?

最新のフィッシング攻撃は確立された制御を回避している

まず、現状を把握することから始めましょう:クレデンシャル・フィッシングのブロックに関して、組織は通常どのようなコントロールや機能に依存しているのでしょうか。

メールセキュリティ・ソリューションを使用している場合、悪質なフィッシングページの検知に関しては、以下のコア機能に依存しています:

  • 既知の悪質なブロックリスト:既知の悪質なブロックリスト:Threat Intelligence(TI)フィードを使用して、既知の悪質なドメインや未承認のURLへのアクセスをブロックし、既知の悪質なIPからのトラフィックをブロックします。

  • 悪意のあるウェブページの検出:サンドボックス内にウェブページをロードして検査し、悪意のある要素を検出する。

これは、ウェブベースのコンテンツフィルタリング(Google Safe Browsingなど)、CASB、SASE、SWGなど、これらの機能に依存する他のソリューションにも当てはまります。

しかし、攻撃者は現在、これらのソリューションを破るために設計された特定の戦術、技術、手順(TTP)、ツールを使用しています。

では、これらの対策がどこまで不十分なのかを見てみよう。

攻撃者は新しいツールやテクニックを使って革新している

今日、フィッシング攻撃の大半はAitMフィッシング・キット(別名「MFAバイパス」キット)を使って実行されています。

これらのキットは、ターゲットとアプリケーションの正当なログインポータルの間でプロキシとして動作する専用のツールを使用します。これにより、ターゲットは使用している正規のサービスでログインに成功し、さらにそのサービスとのやり取りを続けることができます。

実際のアプリケーションへのプロキシなので、ユーザは正規のサイトにログインしており、攻撃者のデバイスを経由して回り道をしているだけなので、ページはユーザの期待通りに表示されます。

しかし、攻撃者はこの接続の真ん中に座っているため、すべてのやり取りを観察し、認証情報、MFA コード、セッショントークンなどの認証情報を傍受して、認証されたセッションを制御し、ユーザアカウントを制御することができます。

Evilginx being used to take over an M365 account
M365アカウントの乗っ取りに使用されるEvilginx
ソースはこちら:プッシュ・セキュリティ

MFAはかつてフィッシングの特効薬と広く見なされていた(「MFAはIDベースの攻撃の99%以上を防ぐ」というマイクロソフトの統計は記憶に新しい)が、もはやそうではない。

これらのキットは、MFAのような他のフィッシング対策をバイパスするのに非常に効果的であるだけでなく、攻撃者は一般的な検知ツールやテクニックを回避するために特別にキットを作成しています。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Push Securityでアイデンティティ攻撃から身を守る

Pushのブラウザベースのアイデンティティセキュリティプラットフォームが、MFAバイパスフィッシング、クレデンシャルスタッフィング、パスワードスプレー、セッションハイジャックなどのアカウント乗っ取り攻撃をどのように防ぐか、デモをご予約ください。

従業員のアイデンティティが作成され、使用されている場所、つまり従業員のブラウザで、アイデンティティを発見、修正、防御します。

デモの予約または無料体験

既知の悪質なブロックリストでは追いつかない

既知の悪質なブロックリストの基本的な限界は、攻撃者が変更しやすいインジケータに焦点を当て、それに基づく検出を回避しやすくしていることです。

攻撃者は、これらの要素を偽装し、ローテーションさせることに長けている。最近のフィッシング攻撃では、すべてのターゲットがユニークなEメールとリンクを受け取ることができる。URL短縮ツールを使うだけでも、これをバイパスすることができる。これはマルウェアのハッシュと同じであり、変更するのは些細なことであるため、検知を行うには適していない。痛みのピラミッドの一番下に位置するような検知方法だ。

The Pyramid of Pain

ユーザーがどのIPアドレスに接続したかを調べることもできるが、最近の攻撃者はクラウドホストサーバーに新しいIPを追加するのは非常に簡単だ。もしドメインがknown-badのフラグを立てられたら、攻撃者は新しいドメインを登録するか、すでに信頼されているドメイン上のWordPressサーバーを侵害すればいいだけだ。

攻撃者は自分のドメインがいつか焼かれることをあらかじめ計画しているため、この2つのことが大規模に起こっている。攻撃者は、潜在的な犯罪収益という壮大な計画の中で、新しいドメイン1つにつき10ドルから20ドルを費やすことに満足している。

例えば、Tycoon、Nakedpages、Evilginxを含むAdversary-in-the-Middleフィッシング・キットの最近の例では、解決先のURLを(継続的に更新されるURLのプールから)ローテーションさせたり、HTTP Refererヘッダーをマスクして疑わしいリダイレクトを偽装したり、意図した被害者以外がページを訪問しようとした場合には良性の(正当な)ドメインにリダイレクトしたりすることが確認されている。

そして多くの場合、攻撃者はキャンペーンを行うために正規のSaaSサービスを活用しており(時にはメール保護サービスそのものを利用していることさえある!)、有害なリンクから本物をフィルタリングすることをさらに難しくしている。

しかし、ここにはもっと大きな問題がある。防衛側がURL、IP、ドメイン名が悪質であることを知るには、まず報告される必要がある。いつ報告されるのか?通常、攻撃に利用された後に報告される。

悪意のあるウェブページの検出は失敗している

攻撃者は、セキュリティ・ツールやボットがフィッシング・ページに到達して分析するのを防ぐために、様々なトリックを使っている。

最初のゲートウェイにはCloudflare Workersのようなサービスが使われ、セキュリティ・ボットがページに進むのを防ぐためにCloudflare Turnstileが使われています。

Cloudflare captcha

Turnstileを通過できたとしても、悪意のあるページを提供するためには、正しいURLパラメータとヘッダを提供し、JavaScriptを実行する必要がある。つまり、ドメイン名を知っている防御者は、そのドメインに単純なHTTP(S)リクエストをするだけでは、悪意のある動作を発見することができないのだ。

また、これだけでは不十分だとしたら、シグネチャベースの検知に引っかからないように、視覚的要素とDOM要素の両方を難読化しているのだ。そのため、たとえページにたどり着けたとしても、検知は発動しない可能性が高い。

DOM構造を変更することで、攻撃者は機能的には同等のページをロードしていますが、その中身はまったく異なっています。

Comparing a legitimate page’s DOM structure with an attacker’s cloned page
正規のページのDOM構造と攻撃者のクローンページの比較
Source:プッシュ・セキュリティ

また、ページタイトルのランダム化、テキストの動的なデコード、画像要素のサイズや名前の変更、異なるファビコンの使用、背景のぼかし、ロゴの代用など、一般的な検出を打ち負かすために様々なことを行っています。

The left image is a fake login page — looks pretty believable though, right?
左の画像は偽のログイン・ページ。かなり信憑性があるように見えるが、そうだろうか
Source:プッシュ・セキュリティ

これだけあれば、防御側が追いつけないのも当然だ。

評決

歴史的に、業界は電子メール・セキュリティ・ソリューションとアンチフィッシングを同じものとして見てきた。しかし、最新のクレデンシャル・フィッシング攻撃(今日最も一般的で、かつインパクトのあるフィッシングの手口)に関しては、Eメールベースのフィッシング対策では対応できないことは明らかです。

これは、Eメールベースのソリューションに価値がないということではありません。しかし、フィッシング・ページを検出するためにメール・スキャナーに頼るだけでは、もはや十分な防御策とは言えません。

より良いフィッシング対策を構築する

この問題を解決する鍵は、端的に言えば、より優れた対策を構築することである。しかし、そのためには、フィッシング攻撃を阻止できる主要な(あるいはしばしば唯一の)場所としてのEメールから脱却する必要がある。

電子メールはフィッシング攻撃の主な伝達手段ではあるが(少なくとも、主に電子メール・セキュリティ・ソリューションから得られたデータによれば)、それだけではない。フィッシング・リンクは、IMプラットフォームやソーシャルメディア、そして一般的にインターネット上で被害者に届けられることが多くなっている。

従って、この問題に対するより良い解決策は、サンドボックス(これまで議論してきたように、攻撃者は十分に準備している)とは対照的に、ユーザーが使用するサイトを横断的に追跡し、ユーザーが見る実際のフィッシング・ページを見ることができることだろう。

ブラウザベースのフィッシング・プロテクションは解決策なのか?

私たちはフィッシングを電子メール上で起こるものと考えるように仕向けられてきたが、実際には、最初の配信チャネルにかかわらず、ほとんどのアクションが起こるのはブラウザである。

また、フィッシング・リンクの配信を攻撃そのものと見なしたくなりますが、被害者が悪意のあるページで本物の認証情報を入力しない限り、フィッシングは成功しません。

Push Securityは、フィッシング攻撃が発生する場所、つまり従業員のブラウザでフィッシング攻撃を阻止する、ブラウザベースのIDセキュリティ・ソリューションを提供します。

フィッシング攻撃を検知、阻止する上で、ブラウザにあることは多くの利点をもたらします。ユーザーが見ているライブのウェブページを見ることができるため、ページ上で実行されている悪意のある要素の可視性が非常に高くなります。また、悪意のあるエレメントが検出された際に、リアルタイムで制御を行うことができます。

Pushを使用する場合と使用しない場合のフィッシング攻撃を比較すると、明らかな違いがあります。

Detection example: Without Push

ここでは、攻撃者がWordPressブログをハッキングして評判の良いドメインを取得し、ウェブページ上でフィッシング・ツールキットを実行します。そして、そのリンクを従業員にメールします。SWGやEメールスキャンソリューションはサンドボックス内でこのリンクを検査しますが、フィッシングキットはこれを検知し、良性のサイトにリダイレクトして検査を通過させます。

ユーザーはリンク付きのメールを受け取り、自由にフィッシング・ページにアクセスすることができます。ユーザーは自分の認証情報とMFAコードをページに入力すると、ほら!攻撃者は認証されたセッションを盗み、ユーザーのアカウントを乗っ取る。

Detection example: Wish Push

しかし、Pushでは、Pushブラウザ拡張機能がユーザーのブラウザで実行されているウェブページを検査する。Pushは、ウェブページがログインページであり、ユーザーがパスワードを入力していることを検知します:

  • ユーザーが入力しているパスワードは、そのパスワードが固定されているドメインと一致します。一致しないので、この検出だけに基づいて、ユーザーは自動的にブロックページにリダイレクトされる。

  • レンダリングされたウェブ・アプリはクローン化されたアプリのログイン・ページを使用している。

  • フィッシング・ツールキットがウェブ・ページ上で実行されている。

その結果、ユーザーはフィッシング・サイトとのやり取りをブロックされ、続行できなくなる。

これらは攻撃者が回避することが難しい(あるいは不可能な)検知の良い例です。被害者があなたのフィッシング・サイトに認証情報を入力できなければ、フィッシングをすることはできません

もう一度「痛みのピラミッド」を見てみると、これらの検知は攻撃者にとって回避するのがはるかに困難な検知であり、静的なTI駆動型ブロックリストと比較して、より早い段階で検知し、アカウント乗っ取りを阻止することができる

Applying the Pyramid of Pain to identity-based attacks
IDベースの攻撃への「痛みのピラミッド」の適用
Source:プッシュ・セキュリティ

自分で試す

フィッシング詐欺対策を無料でお試しいただけます。ログイン」ボタンを押してサインアップし、無料アカウントを作成してください。こちらの手順に従ってください。

無料アカウントにサインアップして、デモサイトを使ってフィッシング対策機能をお試しください。
Source:プッシュ・セキュリティ

フィッシング攻撃を阻止するだけではありません

Pushは、クレデンシャル・スタッフィング、パスワード・スプレー、盗まれたセッショントークンを使用したセッション・ハイジャックなどの攻撃に対して、包括的なID攻撃検知・対応機能を提供します。また、ゴーストログイン、SSOの適用範囲ギャップ、MFAのギャップ、脆弱なパスワード、漏洩したパスワード、再利用されたパスワード、リスクの高いOAuth統合など、従業員が使用するあらゆるアプリのIDの脆弱性を見つけて修正するためにPushを使用することができます。

Pushがどのように一般的なID攻撃テクニックを検出し、打ち負かすことができるのか、さらに詳しくお知りになりたい場合は、ライブデモをご予約ください。

主催・執筆:Push Security.