- このところ、以前よりもさらに標的を絞った、手の込んだフィッシング攻撃が増えています。
- モバイルデバイスやソーシャルメディアといった通信チャネルが急増したことで、攻撃者がフィッシングを仕掛ける手段も広がっています。
- サイバー犯罪者は、コンテンツフィルタをなんとかかいくぐってフィッシングコンテンツを被害者に送りつけ、目に触れさせようとしてきます。それがフィッシング攻撃の裏にあるテクノロジーの進化につながっています。
- 人工知能(AI)アプリの登場で、フィッシングの罠とは気づきにくい非常に手の込んだコンテンツを生成できるようになりました。
エクスプロイトや高度な技術を駆使した攻撃を仕掛けてネットワークに侵入するよりも、ユーザーを騙して自らセキュリティを破らせるほうが簡単なことに気づくサイバー犯罪者も多いようです。ユーザーを騙して機密情報を漏らすよう誘導したり不適切な行動を取らせたりすることを「ソーシャルエンジニアリング」と言います。どのような技術で防御策が講じられていても、非常に有効な手口です。そのためソーシャルエンジニアリングは、サイバー犯罪者の数ある攻撃手段の中でも中心的なものとなっています。
ソーシャルエンジニアリングには数多くの形態がありますが、最近ではフィッシングが圧倒的に多くなっています。フィッシングとは、信頼できる送信元からのメッセージに見せかけて詐欺メッセージを被害者に送りつける手法です。フィッシングに最もよく使用される手段が電子メールです。ただし、モバイルデバイスでの通話とテキストメッセージ、ソーシャルメディア、チャットルームといった他のコミュニケーション プラットフォームも、フィッシング攻撃の主要な舞台となっています。
フィッシング攻撃の狙いは、クレジットカードやログイン情報などの機密データを盗むことや、被害者のマシンにマルウェアをインストールすることです。この十数年でフィッシングは大きく進化してきました。今や多種多様なフィッシングの手口が登場しています。スピアフィッシング(特定のユーザーを狙ったフィッシング詐欺)、ホエーリング(相当のリソースやアクセス権限を持つ社会的地位のある特定のユーザーを狙ったフィッシング詐欺)、スミッシング(SMS メッセージを使用したフィッシング詐欺)、クイッシング(QR コードを使用したフィッシング詐欺)、ビッシング(電話を使用したフィッシング詐欺)などです。
標的を絞り始めたフィッシング攻撃
最初期のフィッシング攻撃と言えば、AOHellのようなインスタントメッセージ アプリを使った詐欺です。広範囲に網を張って、できる限り多くの被害者を罠に陥れることを狙ったものでした。ところが、こうしたフィッシングは徐々に効果が薄くなってきました。フィッシング攻撃で成果を上げるためには、まず詐欺メッセージを被害者に配信しなければなりません。同じような内容の大量の詐欺メッセージを大勢の人に送りつければ、セキュリティデバイスとセキュリティ担当者による監視が強まります。
一方、少数の限られた詐欺メールだけを送信すれば、ネットワーク防御側で阻止するのは桁違いに難しくなります。これがスピアフィッシングの背後にある考えです。攻撃者は、フィッシングの標的を少数の被害者グループに絞り込みます。そうすれば、相手ごとに内容を変えた詐欺メッセージを送信できるからです。配信する電子メールの量が少ないほど、メッセージがユーザーの元に届く確率が上がり、ネットワーク セキュリティ デバイスによってフィルタで除外されることも、フラグが設定されることもなくなります。また、相手に合わせて内容に手を加えることで、受信者が正しい相手から送られた電子メールだと判断する可能性が高まります。
フィッシングを目にする機会が多様に
モバイルデバイスとソーシャルメディアアプリが急増したことで、フィッシング攻撃者は電子メール以外に複数の攻撃手段を用いるようになりました。詐欺メッセージを被害者に送りつける際に、LinkedIn、Instagram、Facebook、Telegram、Discord、Twitter などのソーシャルメディアアプリを使用することが知られています。また、SMS を使用して詐欺メッセージが定期的に送られてくるようになりました。QR コードが使用されることさえあります。
本物の @MetaMask Twitter アカウントのツイートへの返信で、「metamask.lc」への詐欺リンクをツイート
リンク短縮サービスを使用して実際のリンク先 URL を確認できないようにした SMS フィッシングの例
すべてのフィッシングがオンラインで行われるとは限りません。ハイブリッドなアプローチを取るフィッシング攻撃者も登場しています。詐欺メールを送りつけますが、フィッシング Web サイトやマルウェアへのリンクではなく電話番号をメールに記載しておきます。被害者が電話をかけてきたら、さらにソーシャルエンジニアリングを行うという手口です。
セキュリティデバイスの監視をかいくぐってユーザーを欺く回避戦術
セキュリティデバイスは、フィッシングコンテンツの兆候がないかネットワークを常時監視しています。もしその兆候があれば、不正なコンテンツとしてマークし、場合によっては詐欺メッセージをまとめて破棄します。現在、サイバー犯罪をうまくやり遂げようと思うなら、フィッシング対策セキュリティテクノロジーを回避しなければなりません。今のところ、サイバー犯罪者が試しているのは以下のような方法です。
- テキスト情報やリンクを画像に埋め込む
- スキャンできないほど大きなサイズの添付ファイルを使用する
- HTML スマグリング
- さまざまな添付ファイルの形式(.doc、.one、.lnk、パスワードで保護された .zip)を使用する
- リンク短縮サービスを使用して詐欺リンクだと分からないようにする
- 書籍から引用した不要な隠しテキストを詐欺メッセージの内容に含めることで、変化を持たせる
- 本物によく似たドメイン名へのリンクを使用する(タイポスクワッティングという手口です)。あるいは、サブドメインに細工を施したドメイン名(www.office.com.login.evilbadguy.com など)へのリンクを使用する
- 侵害した正規のアカウントからメッセージを送信する
- 偽ブラウザを表示する Browser in the Browser という手法を使用する
ますます気づきにくくなるフィッシングの罠
最近のフィッシングの罠は、2 つの基本的なカテゴリに分類される傾向があります。多くの詐欺メッセージは、取引に関する内容(たとえば購入したものの請求書や領収書など)に見せかけようとします。一方、時事問題、自然災害、有名人の最新のゴシップなど特定の話題を扱うニュースに関心のある被害者を標的にしようとする詐欺メッセージもあります。
オープンソース情報に簡単にアクセスすることができ、また侵害データが公開されているため、攻撃者がその気になればネットで検索して無料で入手できる個人/グループの機密情報はごまんとあります。こうした情報を使用すれば、詐欺メールの内容を相手に合わせて変更して、被害者に関連の深い内容にすることができます。
手の込んだフィッシングコンテンツの作成に役立てようと、ChatGPT などの AI アプリに目を向ける攻撃者が増えています。こうしたアプリは、詐欺とは気づきにくいコンテンツを生成するために利用できます。幸い ChatGPT の設計者たちは、攻撃者が ChatGPT に依頼するだけではフィッシングコンテンツを生成できないように保護対策を講じています。
それでも、依頼する際に言い回しを少し変えれば、ChatGPT はフィッシング攻撃に使用できる詐欺とは気づきにくいコンテンツを生成してくれます。
この数年にわたり、Talos は Emotet を使用する攻撃者たちが既存の電子メールスレッドを利用して標的に添付ファイルを開かせる手口やリンクをクリックさせる手口を見てきました。ChatGPT のような AI アプリケーションを使用すると、過去のメールスレッドでのやり取りに基づいて、文脈に合わせた悪意のある電子メールを作成することができます。
音声クローンも、AI から生まれたテクノロジーの 1 つであり、今後のフィッシング攻撃で何らかの役割を果たすものと予想されています。ディープフェイク技術はすでに、知人からかかってきた電話だと相手に思わせるところまで進化しています。ディープフェイクツールの利用が広まれば、攻撃者はユーザーにフィッシングを仕掛ける新たなメカニズムとして導入していくでしょう。
最近のフィッシング攻撃からユーザーを保護
当たり前のことですが、特定の相手に狙いを定めて内容を調整したフィッシングコンテンツを簡単に生成できるようになれば、防御するのはますます難しくなります。フィッシング攻撃を見破る方法をユーザーに教育することは有効な対策となり得ます。また、Cisco Duo などの多要素認証を導入すれば、フィッシング攻撃を阻止できる堅固な防御となります。Cisco Secure Network Analytics などの製品を使用して通常のネットワーク トラフィック パターンを理解すると、ネットワークセキュリティ担当者がフィッシング攻撃につながる異常なアクティビティを認識しやすくなります。セキュアゲートウェイを介して電子メールを配信するのも有効な対策です。たとえば Cisco Secure Email では、電子メールの内容をスキャンしてフィッシングやマルウェアなど電子メールベースの攻撃がないかチェックできます。Cisco Umbrella などの DNS セキュリティ製品は、ユーザーがフィッシングドメインに移動するのを防いだり、フィッシングドメインからのコンテンツのダウンロードを防いだりするのに役立ちます。
本稿は 2023 年 04 月 13 日に Talos Group のブログに投稿された「How threat actors are using AI and other modern tools to enhance their phishing attempts」の抄訳です。