Phishing Header

Keep Awareの脅威リサーチチームは、最近、正規のインフラを活用し、精密なメール検証を行い、回避的な配信テクニックを駆使したフィッシング事件を観測しました。

この攻撃は、信頼できるドメインの悪用、サーバーサイドでのフィッシングメールの検証、そしてブラウザベースのゼロデイフィッシング対策の重要性を示しています。

何が起こったのか?

ライブ環境では、Keep Awareのブラウザセキュリティソリューションは、セッションを中断することなく、すべてのユーザーの行動と脅威指標をキャプチャするサイレントモードに設定されました。

これにより、セキュリティチームは、フィッシングの試みが展開するすべての段階を完全に可視化し、攻撃ベクトル、ユーザーの行動、および検出の忠実度を明確に評価できるようになりました。

クレデンシャル盗難の特定

管理された検出のレビュー中に、研究チームは認証関連のフィッシング・シグナルがサイレント・モードでトリガーされるのを観察しました。これは、従業員が疑わしいウェブページに認証情報を入力したことを示していた。

ブラウザは可視性のみの操作に設定されていたため、セキュリティチームは、このようなユニークな攻撃者の手口を見て、クレデンシャル盗難の試みの詳細なシーケンスをすべて観察することができました。

Keep Awareのブラウザ・セキュリティ拡張機能によって生成された調査を使用することで、チームは連鎖するフィッシング攻撃を迅速に評価し、クレデンシャルの入力を確認し、ユーザーのパスワードをリセットしたり、異常なアカウントやログインのアクティビティを確認したりするなどの改善策を即座に実行することができました。

Screenshot of the chain of redirects in the Keep Aware platform before a threat flagged the suspicious credential input attempt.
脅威が疑わしいクレデンシャル入力の試みにフラグを立てる前のKeep Awareプラットフォームにおけるリダイレクトの連鎖のスクリーンショット。

Keep Awareのデフォルトの保護を有効にすることで、このようなやり取りは完全にブロックされる。また、フィッシングメール自体は直接観察されませんでしたが、遠隔測定によって重要な洞察が明らかになりました。

これは、ユーザーがブラウザの外からリンクをクリックしたことを示している。

フィッシングが受信トレイやメッセージング・プラットフォームで始まったとしても、攻撃そのものはほとんど常にブラウザで行われる。今日、ブラウザは信頼を容易に悪用され、回避スクリプトが容易に実行され、最終的に認証情報が採取される場所である。

このケースでは、従業員は悪意のあるページをホストする正規のウェブサイトへのリンクをクリックしていました。

a.fl_button { background-color:#border:a.fl_button { background-color: #5177b6; border: 1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Keep Awareによるブラウザ・フィッシング対策

Keep Awareはフィッシング攻撃をリアルタイムで阻止します。URLだけでなく、ユーザーの行動、フォーム送信、サイトのコンテキストを分析することで、フィッシング攻撃を阻止します、

認証情報がページを離れる前に脅威をシャットアウトします。セキュリティチームに、正確な可視化、ポリシーの実施、脅威への迅速な対応を、組織全体の既存のウェブブラウザから実現できます。

デモのリクエスト

キャンペーン/攻撃の概要

1) 正規ドメインでのホスティング

標的となった従業員は、クリーンな評判とテントの販売で強力なインターネットプレゼンスを持つ、9年前の合法的なドメインを訪れました。しかし、この「信頼できる」ドメインは、ファイルパス/memo/home.htmlに悪意のあるフォームページをホストするよう侵害されていました。

このリンクにアクセスすると、ユーザーには「機密文書」が共有されたと主張するメッセージが表示され、支払いのPDFをダウンロードするために電子メールを入力するよう促されました。

これは、私たちが頻繁に目にするソーシャルエンジニアリングのプロンプトで、想定されるビジネス文書にアクセスするために、ユーザーにリンクをクリックさせ、認証情報を提供させるように設計されたフレーズです。

Screenshot of a malicious page hosted on a legitimate domain used for email validation
Eメール認証に使用される正規ドメインでホストされた悪意のあるページのスクリーンショット

基本的な回避方法アンチ解析JavaScript

この悪意のあるページには、基本的な解析対策が含まれていました。右クリックのコンテキストメニューを無効にし、セキュリティアナリストや好奇心旺盛なインターネットユーザーがページの検査や保存に使用する可能性のある一般的なキーボードショートカットをブロックします。

Snippet of JavaScript from the malicious page with basic anti-analysis measures
基本的な解析対策が施された悪意のあるページのJavaScriptのスニペット

このような単純なテクニックは、ページのコードやバックグラウンドの動作を見ることを妨害するために広く使われています。

フォーム処理コード

解析対策に加えて、このフィッシング・インフラストラクチャには、被害者がどのようにページに到達したかに応じて、電子メールの入力を動的に処理するロジックが含まれています。

被害者のEメールを事前に入力

フィッシング・リンクのURLのアンカー部分(「#」記号の後)に被害者のEメールアドレスが含まれている場合、JavaScriptコードは自動的にそのEメールアドレスを抽出し、フォームに挿入します。これにより、被害者のステップを減らし、プロセスから摩擦を取り除き、信憑性と成功率を高めることができる。

Snippet of JavaScript that will extract the target’s email address from the URL’s anchor portion, if present.
URLのアンカー部分からターゲットのメールアドレスを抽出するJavaScriptのスニペット。

この事前入力テクニックは、フィッシング・メールにcompromised.domain.com/file/path?#victim_email@example.com のようなターゲット特有のリンクが含まれていることを意味する。

フィッシング・メールに添付された悪意のあるSVGが、JavaScriptを使って被害者のEメールを悪意のあるURLに追加し、ブラウザをリダイレクトさせるというものだ

偽のログイン・フォームに事前に入力されるターゲット固有のリンクには、2つの目的がある:

  • どのユーザーがフィッシング・リンクをクリックしたかを追跡する;
  • フィッシング・プロセスを効率化する。

電子メール送信ロジック

URLのアンカーにEメールアドレスが存在しない場合、フォームは被害者が手動でEメールを入力し、送信するのを待ちます。

フォームが送信されると、2つのことが起こる:

  1. 悪意のあるサイトへのリダイレクト: ページがユーザーのタブを別のURLにリダイレクトします。.works.devのサブドメインで、クエリーパラメーターにEメールが含まれています(?ref=<Eメール>)。
    Snippet of JavaScript showing that sends the victim's email to a .workers.dev subdomain
    被害者の電子メールを.workers.devサブドメインに送信するJavaScriptのスニペット
  2. APIエンドポイントに送信されたEメール:同時に、ユーザーのメールとタイムスタンプが API エンドポイントに送信されました。
    Snippet of JavaScript that sends a POST request with victim information to an API endpoint
    被害者情報を含む POST リクエストを API エンドポイントに送信する JavaScript のスニペット

この送信メカニズムは、被害者をリアルタイムで検証し、次に被害者が見るものを調整することができる、より高度なフィッシング・インフラを示唆している。

2) 「進む前にもう一歩」:CAPTCHAの使用

メールを送信した後、最終的なフィッシング・ページに進む前に、ユーザーは別の悪質なサイトに誘導され、CloudflareのCAPTCHAでチャレンジされた。

Screenshot of the CAPTCHA on the malicious site
悪質サイトのCAPTCHAのスクリーンショット

この手口は珍しいものではない。本物のCAPTCHAは(偽のものだけでなく)、フィッシング行為者によって以下の目的で多用されています:

  • ボットや自動スキャナーが最終的なフィッシング・ページを分析するのを防ぐ。
  • 従来のURLスキャンエンジンによる検出を避ける
  • プロセスに信頼性を与える

CAPTCHAは攻撃者がツールを回避し、欺瞞を長続きさせるのに役立つ。

3) カスタマイズされたフィッシング・ページ、Eメールによる検証

CAPTCHAを通過すると、フィッシング・ページはマイクロソフトの偽ログイン・フォームに移行することがある。しかし、常にというわけではありません。

何がフィッシング・ペイロードの引き金になるかは、ユーザーが入力したEメールによって異なります。

個人メール(例:@gmail.com): ページは空白の画面を返す。

Phishing site loads as a blank page when a personal email has been provided.
個人的なEメールが入力された場合、フィッシング・サイトは空白のページとして読み込まれる。

企業のEメール(有効なビジネスEメールだが、攻撃者のリストにはない可能性が高い): カスタマイズされていない、基本的なマイクロソフトのログイン・ページが返される。

Phishing site that loads as a basic Microsoft login page when a non-personal email address has been provided.
個人以外のメールアドレスが提供された場合、基本的なマイクロソフトのログイン・ページとして読み込まれるフィッシング・サイト。

標的のメールアドレス(有効なビジネスメールであり、攻撃者のリストに登録されている): このフィッシング・ページでは、被害者の会社のロゴ、ブランドの背景、組織のヘルプデスクのイニシャルを使用してカスタマイズされた偽のMicrosoftログイン・ページが表示されました。

Phishing site that loads as a customized Microsoft login page when an email address on the attacker’s list has been provided.
攻撃者のリストにあるメールアドレスが提供されると、カスタマイズされたマイクロソフトのログイン・ページとして読み込まれるフィッシング・サイト。

この動作は、攻撃者のバックエンドがサーバー側で電子メールの検証を行っていることを示唆している。そのメールが標的型リストに含まれているか、個人的なメールと判断されたかに基づいて、フィッシング・インフラストラクチャは選択的にペイロードを配信する。

精度の高い検証を行うフィッシング、サーバーサイド

攻撃者がメールアドレスをリアルタイムで検証し、意図したターゲット、またはより価値の高いターゲットにのみ最終的なフィッシング・ページが届くようにするこのテクニックは、「Precision-Validated Phishing」と呼ばれている。

Eメール検証のテクニックは、クライアント側のコードまたはAPIコールによって実行される。この場合、Eメールの検証はJavaScriptを介したクライアントサイドではなく、サーバーサイドで行われているように見える。

提供されたEメールはバックエンドのAPIに送られ、そのAPIが次の動作を決定するため、静的な検査やクライアントサイドの検査だけではフィッシングのロジックを発見することはさらに難しくなる。

リアルタイム、ゼロデイ検知で高精度フィッシングに打ち勝つ

洗練されたサーバー側のロジックにもかかわらず、最終的な目的は依然としてシンプルです。どのような方法でメール認証が行われたとしても、ターゲットとなるユーザーは常に、認証情報を盗むことを目的とした悪意のあるページにたどり着くことになります。

もしあなたのセキュリティ・スタックが、ゼロデイであろうとなかろうと、精度検証済みであろうとなかろうと、そしてユーザーがパスワードを入力する前に、フィッシング・ページをブロックすることができれば、攻撃者は手ぶらで立ち去ることができます。

このような高度な標的型フィッシングを防御するには、次のような対策が必要です:

  • 信頼できるドメイン上であっても、セキュリティ・スタックがフィッシング・ページを検知し、ブロックできるようにすること。
  • 組織が使用する正当なビジネス・プラットフォーム(Microsoft 365、Okta、Google Workspaceなど)のなりすましを認識するツールに投資する。
  • メールフィルタリングだけでなく、リアルタイムでのブラウザレベルの保護を従業員に徹底させる。

進化し続ける攻撃への対応

フィッシングは、正規のインフラ、精密なメール検証、回避的な配信テクニックを活用し、進化し続けています。しかし、その手口はますます巧妙になる一方で、解決策は依然として明確です。

リアルタイムのブラウザー内保護が重要であるということです。ユーザーを欺くログインページにアクセスさせないようにすることが、どのような巧妙な検証ロジックがあろうとも、フィッシングを未然に防ぐ最も確実な方法なのです。

Keep Awareがどのようにブラウザ上でのフィッシング攻撃を防ぐことができるかについては、チームメンバーによる個別のデモをリクエストしてください。

Keep Awareがスポンサーとなり、執筆しました。