メールフィルタをすり抜けるフィッシングメール〜攻撃者はどんな情報も悪用する!?
先日「脆弱性のあるWebサイトを利用したフィッシング詐欺とは? オープンリダイレクトを悪用したフィッシング攻撃」(https://www.securebrain.co.jp/blog/2023/0516/ )でオープンリダイレクトの脆弱性を利用することで、一見すると怪しくないURLを利用してフィッシングサイトに誘導する方法についてご紹介しました。今回は、オープンリダイレクトの脆弱性を利用したURLを用いたフィッシングメールに見られた他の特徴についてご紹介します。
フィッシング攻撃は、実在する組織を騙って、ID・パスワードやクレジットカード情報といった個人情報を詐取する攻撃です。EメールやSMSで情報を詐取するためのフィッシングサイトに誘導するというのが一般的です。
※参考 フィッシング対策協議会「フィッシングとは」
https://www.antiphishing.jp/consumer/abt_phishing.html
このフィッシングメールでは、アカウントの停止や不正利用など緊急性を要する内容で、利用者に不安を与えるなど、様々な利用者を騙す試みがなされます。
フィッシングメールにおいて攻撃者が騙さなければならない相手は、メールを受信した利用者だけではありません。フィッシングメールなどの不正なメールの増加に伴い対策の普及も進み多くのメールシステムで迷惑メールフィルタなどのメールフィルタが導入されています。そのため攻撃者は、フィッシングメールを利用者の受信ボックスに到達させるために様々な手法を用いています。
その1つが、冒頭で触れたオープンリダイレクトを悪用したフィッシング攻撃です。オープンリダイレクト脆弱性を持つ正規サイトのURLをフィッシングサイトへ誘導するためのURLとして利用することで、利用者を騙すだけでなくメールフィルタがURLをチェックしても悪性のサイトとは判断されない可能性があります。
その他に、セキュアブレインが調査したフィッシングメールで用いられていた手法は、以下の通りです。
1.実在する組織のメールアドレスを利用する
2.実際にやり取りされたメールの内容を本文内に記載する。
1に関しては、以前から用いられる手法で利用者を騙すために正規のメールアドレスになりすますという手法がありますが、今回調査したケースでは異なると考えています。
今回調査したケースでは、信頼度が低い送信元のメールを破棄するといったメールフィルタをすり抜けるために全く関係のない実在する組織のメールアカウント情報を入手して送信元として悪用した可能性が高いと考えられます。
2に関しては、以下の図の様にフィッシングメール本文の後ろに大量の改行を挿入し、その後に実在する組織間で実際にやり取りされていたメールの本文が貼り付けられていました。
これは、利用者には、冒頭のフィッシングメール本文でメールが終わったと誤認をさせて、メールフィルタには、本文の内容からフィッシングメール等の迷惑メールを機械的に判断するのを阻害するために、
– 本文の内容を複雑にすること
– 返信元のメールなどのやり取りを含むことで通常のメールのやり取りの一環と誤認させること
などを狙っている可能性が高いと考えられます。
この様に、攻撃者は、フィッシングメールを利用者の受信箱に到達させるために様々なメールフィルタ対策を試みていることがわかります。メールフィルタなどのメールセキュリティの性能は向上していますが、攻撃者によるセキュリティ製品に対する対策も行われています。セキュリティ製品の導入だけでなくフィッシングなどの攻撃に関する基本的な対策の知識を持つことは重要です。
また、以前ご紹介したオープンリダイレクトの脆弱性を持つサイトの公開や今回ご紹介したメールアカウントのフィッシングメール送信などへの悪用、メール本文情報のフィッシングメールへの盗用は、情報流出による被害に加えて、組織の信頼の失墜という事態を招きかねません。
どんな情報でも攻撃者にとって利益につながる可能性があり、自組織の信頼を損なう危険性があるという意識でセキュリティ対策に取り組む必要があります。