イスラエルのサイバーセキュリティ企業であるPerception Pointのリサーチャーにより、サイバー攻撃者は、フィッシングリンクがセキュリティフィルターによって検出されないように、セキュリティ製品が使う「URL書き換え」を悪用していることが明らかになりました。
大手ベンダーのセキュリティツールは、フィッシング攻撃を防ぐためにURLを書き換えています。これを悪用してセキュリティツールに、悪意のあるリンクを正当なリンクとして認識させることができます。
これを実行するにはいくつかの方法があり、Perception Pointのリサーチャーは次のように説明しています。「可能性が高い手口は、まずサイバー攻撃者が、URL書き換え機能を持つメールセキュリティの利用者のメールアカウントを侵害し、その後、“最初は無害で、後に攻撃に使うリンク“を含むメールを自分自身に送信します。メールがURL保護セキュリティを通過すると、リンクが書き換えられ、メールセキュリティベンダーの名前とドメインが含まれます。従って、書き換えられたURLは正規のものとみなされれやすいものです。」
その後サイバー攻撃者は、URLをフィッシングサイトにリダイレクトし、セキュリティツールやリンクを確認するユーザーに対して、リンクが安全であるように見せかけることができます。
同社のリサーチャーは次のように述べています。
「セキュリティツールにより“ブランド化”されたURLは、後で攻撃に使われます。書き換えられたURLがセキュリティサービスによってホワイトリストに登録された後、サイバー攻撃者はURLの先のページを変更し、ユーザーをフィッシングサイトにリダイレクトします。通常セキュリティサービスは初回のスキャン結果をもとに判定しているため、既知のURLは再スキャンされません。これにより書き換えられたURLの先の悪意のあるリンクはその後のセキュリティチェックを回避できます。さらに、攻撃者はCAPTCHA回避やジオフェンシングなどの高度な手法を使用して、メールセキュリティベンダーによる詳細な分析を回避することもあります。」
同社は次のようにまとめています。
「このURL書き換えによる攻撃は、利用者のセキュリティ企業のブランドが含まれているものを疑わない点を悪用しているため、特に危険です。セキュリティ意識の高い従業員であっても、リンクをクリックしてしまう可能性は高いと言えます。攻撃者はURLが書き換えられ、悪用できるまでのタイミングのギャップを狙い、従来のセキュリティツールの大半を回避しています。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
詳細については、Perception Pointの記事を参照してください。
原典:Stu Sjouwerman著 2024年8月21日発信 https://blog.knowbe4.com/threat-actors-abuse-url-rewriting-to-mask-phishing-links