チェック・ポイントの子会社Avanan、実在のランディングページのミラーリングによる認証情報の窃取を解説
[22/08/31]
提供元:PRTIMES
提供元:PRTIMES
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の子会社で、クラウドベースの電子メール向けセキュリティを提供するAvananは、攻撃者が組織のログインページを動的にミラーリングし、ユーザーを騙して認証情報を引き出す、なりすまし攻撃についての分析を公開しました < https://www.avanan.com/blog/mirroring-actual-landing-pages-for-convincing-credential-harvesting >。
ハッカーが攻撃で目標としている段階には2つあり、1つは受信トレイへの侵入、もう1つはユーザーから欲しい情報を引き出すことです。ハッカーたちは膨大な時間を費やして、その2つを一度に達成するためのクリエイティブな方法を考案しています。Avananの研究者は、脅威アクターが組織のランディングページをミラーリングし、ユーザーを騙して認証情報を引き出す方法について分析を行いました。
攻撃
攻撃ベクトル:電子メール
攻撃タイプ:認証情報の窃取
攻撃の手口:なりすまし
ターゲット:すべてのエンドユーザー
電子メール
攻撃者は組織のログインページを動的にミラーリングし、ユーザー自身が認証情報を差し出すよう仕向けます。
電子メールの例1
[画像1: https://prtimes.jp/i/21207/134/resize/d21207-134-2a764e4dcfb0fcd96b50-0.png ]
(画像1)ユーザーには、パスワードの期限切れを通知する典型的な見た目のリマインダーメールが表示されます。この画像に例示されているリンクは、Googleや企業のURLにつながるものではありません。
[画像2: https://prtimes.jp/i/21207/134/resize/d21207-134-03af0fab900dc6675a61-1.png ]
(画像2)URLから飛んだ先で、ユーザーはreCAPTCHAへの入力を求められます。この過程を経ることで、ユーザーにページが正当なものに見せるように機能しています。
[画像3: https://prtimes.jp/i/21207/134/resize/d21207-134-421a37e2a51935957f7e-2.png ]
(画像3)このURLは企業のウェブサイトとは全く無関係ですが、表示されるページは本物と完全に同じに見えます。上記イメージのサイトは会社の本物のサイトを寸分違わずミラーリングしています。ユーザーにはメールアドレスがあらかじめ入力された従来のログインページおよび背景が表示されるため、ページの信憑性は非常に増しています。
攻撃の手口
Avananは「SPAM-EGY」と呼ばれる攻撃グループについて解説しました。このグループは、会員に対して「Phishing as a Service (PhaaS)」を提供する犯罪組織で、そのサービス内容には以下が含まれます。
絶えず変化する難読化のメソッドを用いて、受信トレイに到達する機能。
メールアドレスがあらかじめ入力された、Microsoft 365の2つ目のログインページに装ったフィッシングページにリダイレクトする機能。
メールアドレスのドメインに合わせてロゴや背景が変化するダイナミックレンダリングを実装したランディングページ。
ランディングページでは、確認のためにメールを2回要求するか、またはオプションとして、パスワードの確認のためにリアルタイムで認証情報の使用を求めることができます。
パスワードが正常であれば、ユーザーは実在のドキュメント、もしくはOffice.comのホームページに誘導されます。
ユーザーが認証情報を入力するとブラウザのクッキーによってフィッシングページは「アクセス不能」の状態となり、それ以上の検証はできなくなります。
今回の攻撃はこれらの商標すべてに倣ったものです。異なるのは、Googleのドメインをターゲットとしていることです。これは、こうしたタイプの攻撃が進化したことを示しており、別のグループによって実行される可能性もあります。
フィッシングページとユーザーが見慣れたログインページの見た目が一致するというのは、非常に巧妙な仕掛けです。本物である説得力をより高めるため、GoogleのreCAPTCHAフォームまで追加されています。
賢明なエンドユーザーであれば、URLが一致しないことに気づくでしょう。しかしそれ以外は全て寸分違わぬ見た目をしています。ユーザーを騙すための戦術競争において、これはAvananが見た中で最も効果的なフィッシング詐欺キャンペーンの1つです。
ベストプラクティス:ガイダンスと推奨事項
Avananは、上記のような攻撃への防御として、次のような対策を推奨します。
リンクやバナーをクリックする前に、必ずその上にカーソルを置き、リンク先のURLをよく確認しましょう。
メールが正当なものかどうかIT部門に問い合わせるよう、エンドユーザーに促しましょう。
多層的なセキュリティシステムを導入し、メールが悪意あるものかどうかを複数の指標を用いて判断しましょう。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan