Skip to content
検索
  • There are no suggestions because the search field is empty.
キャンセル
採用情報

    KnowBe4 ブログ

    ブランドを簡単に偽装する手口:オープンリダイレクトによる信頼できるドメインの悪用

    KnowBe4 Threat Labパブリケーション
    著者:Jeewan Singh Jalal Anand BodkeMartin Kraemer

    要約
    攻撃者は、リダイレクトサービスのドメインレピュテーションの利用、実際の送信先の難読化、そして既知の送信元に対する信頼を悪用するために、保護メカニズムが十分でないリダイレクトを悪用しています。

    画像3-Feb-21-2025-08-31-37-9493-AMURLのホワイトリスト登録は、あらかじめ定義されたURLの書き換えのみを許可するものであり、サーバーの脆弱性に対する有効な対策となります。しかし、すべてのWebサービスがその対策を講じているわけではありません。

    KnowBe4 Threat Labは最近、この脆弱性を悪用したキャンペーンを確認しました。これはユーザーを誘い込んで悪意のあるリンクをクリックさせたり、添付ファイルを開かせたり、JavaScriptのペイロードを配信させたりします。このキャンペーンは、技術的な防御だけでは組織を守るには不十分であることを改めて認識させています。不正や悪意のある行為を見つけ報告するためには、従業員の参加が重要です。

    攻撃者は、メールセキュリティソリューションを回避し、従業員の受信トレイに到達する新しい戦術/技術/手順(TTP)を次々と開発しています。セキュリティ対策を強化している組織では、オープンソースインテリジェンス、マシンインテリジェンスに加えてヒューマンインテリジェンスを活用して、メールゲートウェイのセキュリティを向上させています。さらに、サイバーレジリエンスの高い組織では、エンドユーザーに対して、ソーシャルエンジニアリング攻撃に対抗するためのトレーニングも行っています。このトレーニングを通じて、攻撃の兆候となるレッドフラッグを見つけ、感情的知性と批判的思考力を鍛えることを実施しています。

    背景
    リダイレクトの背後に悪意のあるURLを隠すことで、攻撃者はセキュアメールゲートウェイ(SEG)の一部であるURL書き換えサービスを回避することが可能になります。URL書き換えは、既知の悪意のあるURLデータベースとURLを照合しますが、実際の送信先はURLリダイレクトによって難読化されるため、不正なリンクが受信トレイに届くことになります。クリック時点での動的なURL解析は存在しますが、すべてのユーザーが利用しているとは限りません。

    多くの人はURLを詳細に確認することが非常に苦手で、URLに表示される名前に強く依存する傾向があります。偽のWebサイトと本物のWebサイトをURLだけで見分けるのは困難です。そもそもURLに注意を払っていない人もいます。この現実は、従業員教育の必要性を示しています。URL書き換えとは何か、どのように悪用されるのか、なぜ攻撃者がこの手法をますます利用するようになっているのかを認識させる必要があります。

    データ
    最近、主に金融機関と医療分野の組織を狙った巧妙なフィッシングキャンペーンが展開されていることが明らかになりました。2024年10月2日から3日にかけて確認されたこのキャンペーンは、サイバー犯罪者が機密情報を漏洩させるために用いる戦術の進化に対する懸念を高めています。

    キャンペーン概要

    • 期間:2024年10月2日~3日
    • 報告されたメールの総数:173
    • 主な標的:金融機関および医療分野
    • 攻撃対象となった主な国:米国(90%を占める)

    主な調査結果
    このキャンペーンではさまざまな種類のペイロードが使用されましたが、特に重要な手法は、オープンリダイレクトの脆弱性(CWE-601)の悪用でした。この脆弱性は、ユーザーを悪意のあるフィッシングリンクをクリックさせるために使用されました。以下は、確認されたペイロード配信方法です。

    1. HTML添付ファイル:最も一般的な方法で、HTMLの添付ファイルからフィッシングランディングページにリダイレクトされるケースが27件ありました。
    2. QR コードを含むPDFファイル:QRコードを含むPDFファイルが悪意のあるサイトに被害者を誘導するために使用されたケースが4件報告されています。
    3. 正規のURLの悪用:攻撃者が正規のURLを操作し、標的ユーザーを騙すケースが4件報告されています。
    4. 隠されたJavaScript:メール本文に隠されたJavaScriptを含んでいるケースがあり、これは検出を困難にします。
    5. Microsoft Teamsの偽の通知:攻撃者はMS Teamsの通知を模倣し、慣れ親しんだプラットフォームに対するユーザーの信頼を悪用しました。

    技術的な詳細
    URL書き換えは、メールに埋め込まれた悪意のあるリンクからユーザーを保護するために設計されたメールセキュリティ機能です。この中心となる機能は、元のURLを修正したリンクに置き換え、まずリクエストをベンダーのサーバーにリダイレクトします。リンクは脅威がないかスキャンされ、安全と判断された場合、ユーザーはコンテンツにリダイレクトされます。安全でない場合、リクエストはブロックされます。しかし、この機能は現在、攻撃者によって悪意のあるリンクを隠すために定期的に悪用されています(図1b参照)。

    画像3_2-Feb-21-2025-08-32-16-7992-AM

    図1b:「こちらを表示」で確認されたハイパーリンク

    このキャンペーンの主な特徴
    キャンペーンは2024年10月2日UTC(世界協定時刻)午後11時30分ごろに開始され、さまざまな組織に送信されたメールには次のような特徴がありました。

    • 発信元:info@transactional.beckermedia.net
    • 送信者名:報告されたメールのほとんどで、表示名が異なっていました。
    • メール本文:各組織はすべて異なるメールテンプレートを受け取っており、そのすべてにオープンリダイレクトの脆弱性(CWE-601)を利用してユーザーを最終的にフィッシングのランディングページにリダイレクトさせるURLが含まれています。
    • 件名:件名も各組織とその送信者ごとに異なります。
    • 攻撃者が使用したテクニックは、正規のWebサービスを介したオープンリダイレクトの悪用と信頼された正規のドメインの侵害でした。
    • CWE、CWE-061について:信頼できないサイトへのURLリダイレクト(「オープンリダイレクト」)が、攻撃者が悪用した脆弱性です。これはWebサービス開発者が入力内容を適切に検証していないためによく発生します。

    戦術
    サイバー攻撃者は、次のような理由で、正規のビジネスドメインを攻撃することを好みます。

    • スコアが良いドメインのレピュテーションとその期間
    • ビジネスの妨げになることを恐れ、アクセスをなかなかブロックできない
    • ドメインのレピュテーションによってセキュリティスキャンを回避できる
    • 攻撃の出所を不明瞭にすることで調査を複雑化
    • 主要なセキュリティベンダーから良いレピュテーションを受けホワイトリストに登録されている
    • 報告されるまで、メールセキュリティゲートウェイに引っかからない
    • 最小限の認証で素早くアカウントを作成
    • 攻撃者所有のインフラと比較して、高いクリック率
    • 往々にして、これらの正規のサービスでは調査が中断されるため、匿名性を確保している

    KnowBe4の推奨事項
    このキャンペーンは、攻撃者が成功率を高めるために、さまざまなテクニックを組み合わせてフィッシング戦術を進化させていることを示しています。特に金融機関や医療分野の組織は、ヒューマンリスク管理に重点を置きながら、以下の推奨事項を検討してください。

    1. ヒューマンリスク管理を優先する
      • 包括的かつ継続的なセキュリティ意識向上トレーニングを実施する
      • 定期的にフィッシングシミュレーションテストを実施し、従業員の警戒心を向上させる
      • 不審なアクティビティを気軽に報告できるセキュリティ文化を奨励する
    2. 不審な添付やリンクを含んだメールを検知し隔離するためのメールフィルタリングシステムを強化する
    3. すべてのシステムに多要素認証を採用する
    4. オープンリダイレクトのような脆弱性に対応するため、システムを定期的に更新しパッチを適用する
    5. Microsoft Teamsのような一見すると正規のソースからであったとしても、予期せず届いた通知には注意する
    6. 予期しないリクエスト、特に金融取引や機密情報に関わるリクエストを検証するための明確なプロトコルを確立する
    7. ITセキュリティチームと従業員間のオープンなコミュニケーションを醸成し、新たな脅威に関する情報を迅速に発信する

    従業員の教育とトレーニングは、巧妙なフィッシング攻撃に対する最も重要な防御策となります。技術的な対策も重要ですが、注意深く十分な知識を持った従業員がいることで、攻撃が成功するリスクを大幅に減らすことができます。定期的なトレーニングと実際のシミュレーションを組み合わせることで、従業員が日々、セキュリティに関する賢明な判断を下せるようになります。

    KnowBe4 Threat Labについて
    KnowBe4 Threat Labは、専門家の分析とクラウドソーシングによるインテリジェンスを組み合わせることで、メールの脅威とフィッシング攻撃の最新の状況を調査分析し、その緩和策を提供することを目的としています。経験豊富なサイバーセキュリティの専門家チームは、最新のフィッシングのテクニックを調査し、これらの脅威に先手を打って対抗するための戦略を開発しています。グローバルなKnowBe4カスタマーコミュニティからのインサイトを活用することで、包括的な推奨事項とタイムリーなアップデートを提供し、高度化するメールベースの攻撃から組織を保護し、対応できるようにします。KnowBe4 Threat Labは、KnowBe4のイノベーションと専門知識へのコミットメントであり、進化し続けるサイバー脅威への強固な防御を提供していきます。 

    原典:Martin Kraemer著 2025年2月6日発信 https://blog.knowbe4.com/make-shift-brand-impersonation-abusing-trusted-domains-with-open-redirects

    Topics: KnowBe4 SATブログ, オープンリダイレクト, KnowBe4 Threat Labパブリケーション

     

    KnowBe4ブログに戻る

    Get the latest about social engineering

    Subscribe to CyberheistNews