米国のサイバーセキュリティ企業Abnormal Securityのリサーチャーは、サイバー攻撃者がフィッシングリンクをセキュリティフィルターによって検出されないように「URLの書き換え」を悪用し続けていると報告しています。
URL書き換えは、多くのメールセキュリティプラットフォームで使用されているセキュリティ手法で、ユーザーがリンクをクリックする前にその安全性を確認します。しかし、この手法がフィッシングリンクを隠すために悪用されることがあります。
Abnormal Securityのリサーチャーは、この手法について次のように説明しています。
「まず攻撃者は、URL書き換え機能を実装しているメールセキュリティを使用している企業の従業員のメールアカウントを侵害します。このアカウント自体は攻撃の直接の標的ではなく、他の攻撃対象への踏み台として利用されます。次に、攻撃者は侵害されたアカウントに新しいURLを含むメールを送信します。このURLはブロックされることなく書き換えられます。攻撃者は書き換えられたURLを入手すると、侵害されたアカウントからそのURLを含むメールを標的となる被害者に送信します。」
このメールはMicrosoftセキュリティ警告を装い、悪意のあるリンクがブロックされたことを通知します。また、メールには警告の詳細を表示するためのリンクが含まれています。
Abnormal Securityのリサーチャーは次のように述べています。
「このメッセージは正規のアカウントから送信され、メール認証を通過し、正規のセキュリティコントロールによって書き換えられた新しいURLを含んでいるため、被害者のセキュアメールゲートウェイ(SEG)はこのメールを正当と判断して配信します。さらに、このシステムがすでに書き換えられたURLを再度書き換えることで、フィッシングリンクがより巧妙に隠されることになります。」
ユーザーがリンクをクリックすると、攻撃者はユーザーを別のサイトに誘導し、OAuthアプリをインストールさせようとします。このアプリをインストールすると、攻撃者はユーザーのMicrosoft 365アカウントへのアクセス権限を取得します。
Abnormal Securityのリサーチャーは、URL書き換えの悪用について次のようにまとめています。
「ユーザーは別のサイトにリダイレクトされ、CAPTCHA(画像認証)を解く必要があります。その後、OAuthアプリのインストールを求められます。これにより、攻撃者はMicrosoft 365アカウントへのアクセス権限を取得します。従来のフィッシング攻撃とは異なり、ユーザーは攻撃に気付くことなく継続的なアクセス権限を攻撃者に与える拡張機能をインストールしてしまいます。たとえユーザーがパスワードを変更しても、攻撃者はアカウントに引き続きアクセスできます。このアクセスを阻止するためには、アカウントから拡張機能を削除する必要があります。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Abnormal Securityの記事を参照してください。
原典:Stu Sjouwerman著 2024年10月8日発信 https://blog.knowbe4.com/attackers-abuse-url-rewriting