フィッシングは依然としてサイバーセキュリティの最も永続的な脅威の1つであるが、それは防御者が進化していないからではなく、攻撃者がさらに速く適応しているからである。
今日の最も効果的なキャンペーンは、なりすましメールや怪しいドメインだけで構築されているわけではありません。私たちが日常的に使用しているツールやサービスに対する信頼という、はるかに狡猾なものを悪用し、ゼロアワーフィッシングを引き起こしているのです。
チェーンリンク・フィッシングの台頭
従来のフィッシングは、不審な送信者や疑わしいURLなど、簡単に識別できるレッドフラッグに依存していた。しかし、現代のフィッシングは成熟しています。
攻撃者は現在、信頼できるインフラを経由して電子メールから被害者を誘導し、認証情報を取得する連鎖型シーケンスを展開しています。
従業員がGoogle DriveやDropboxと思われるリンクを受け取るかもしれない。一見したところ、何も変わったところはない。しかし、最初のクリックの後、ユーザーは一連のプロンプトを静かに経由し、それぞれ評判の良いサイトで信頼できそうなプロンプトを経由し、知らず知らずのうちにビジネス上不可欠な認証情報を攻撃者に渡してしまう。
私たちがチェーンリンクフィッシングと呼んでいるこの手口は、企業のツールが許可し、ITセキュリティチームが気づかないような、正当なプラットフォームや評判の良いドメインを活用することに依存しています。
a.fl_button { background-color:a.fl_button { background-color: #5177b6; border:1px solid #3b59aa; color:color: #FFF; text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.
Keep Awareによるブラウザ・フィッシング対策
Keep Awareはフィッシング攻撃をリアルタイムで阻止します。
URLだけでなく、ユーザーの行動、フォーム送信、サイトのコンテキストを分析することで、Keep Awareは認証情報がページを離れる前に脅威をシャットダウンします。セキュリティチームに、正確な可視化、ポリシーの実施、脅威への迅速な対応を、組織全体の既存のウェブブラウザから実現できます。
これらの攻撃が効果的な理由
ブラウザはナレッジ・ワーカーの世界の中心となっています。コード・レビューから人事業務まで、ほとんどすべての行動がブラウザ・タブで始まり、ブラウザ・タブで終わります。
この一極集中は、攻撃者にとって唯一無二の攻撃対象であるにもかかわらず、その保護は極めて不十分です。
最もセキュリティ意識の高い従業員でさえ、リンクが既知のドメインから来たように見え、期待される動作に従うと、騙される可能性がある。ユーザーは、手遅れになるまで、自分が正常な行動をしていると信じていることが多い。
正規のリンクを使用し、メール認証チェックを通過し、さらには途中でCAPTCHAを挿入することで、攻撃者は従来の防御を回避し、ゼロアワーフィッシングを発見されずに成功させることができます。
CAPTCHAや認証ステップは、現在では日常的なブラウジングにおいて非常に一般的なものとなっているため、攻撃者はフィッシングキャンペーンだけでなく、ClickFixのような他のブラウザベースの脅威においても、ソーシャルエンジニアリングの戦術としてこれらを悪用しています。
「既知の安全」はもはや安全ではない
この変化は、「Known Good」はもはや信頼できるセキュリティ・シグナルではない、という痛切な事実を浮き彫りにしています。実際、それは悪質な行為者にとって完璧な偽装となっている。
チェーンリンクフィッシングのような脅威に真に対処するためには、静的なブロックリストやドメインベースのフィルタリングを超える必要があります。フィッシング対策の未来は、ウェブページとユーザーとのやりとりをリアルタイムで分析することにある。
セキュリティ・スタックが脅威を認識できない場合
信頼できるサービスから発信されたフィッシング・リンクは、メールやネットワーク・フィルターを通過してしまうことが多い。フィッシング・サイトへのトラフィックは、そのドメインが情報フィードに登録されておらず、その評判が損なわれていないため、妨げられることなく許可される。また、マルウェアは配備されず、クレデンシャル・ハーベスティングが行われるだけなので、エンドポイントツールは何も検知することができない。
以下のような重層的な防御があるにもかかわらずだ:
- セキュアEメール・ゲートウェイ(SEG)
- DNSフィルタリング
- セキュア・ウェブ・ゲートウェイ(SWG)
- EDR/AV
- ネイティブ・ブラウザの保護
…ほとんどの組織は脆弱なままです。なぜか?なぜなら、これらのツールは既知の悪意のあるウェブ動作をブロックするように設計されており、エンドポイント・ソリューションはクレデンシャル・ハーベスティング・ウェブフォームに気づかないからです。正当なドメインが巧妙に悪用され、さらに回避的なテクニックが組み合わされることで、ユーザーはゼロアワーフィッシングの被害に遭ってしまうのです。
フィッシングの攻撃を防御する
これらの連続的な攻撃は、信頼できる経路を悪用し、ユーザーを従来の防御を簡単に回避できるフィッシング・サイトに誘導します。認証情報が入力されたときには手遅れになっていることが多く、ほとんどの組織はこのような事態を予測することができません。これらの脅威を効果的に軽減するためには、セキュリティはリスクが顕在化する場所、つまりブラウザにシフトする必要がある。今こそ、境界だけでなく、根源からフィッシングを阻止する時なのだ。
このような連鎖型フィッシングがどのように機能するのか、また被害が発生する前に検知し、阻止する方法については、Keep Awareの最新のオンデマンド・ウェビナーをご覧ください:
チェーンリンクフィッシング:現代のフィッシングの連鎖シーケンス
主催・著作:Keep Aware
Comments