チェック・ポイントの子会社Avanan、Amazonウェブサービスを利用したフィッシング攻撃の情報を公開
[22/09/16]
提供元:PRTIMES
提供元:PRTIMES
包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)の子会社で、クラウドベースの電子メール向けセキュリティを提供するAvananは、Amazonウェブサービス(AWS)を利用して構築されたフィッシングページを用いた攻撃に関する情報を公開しました < https://www.avanan.com/blog/hackers-build-phishing-pages-using-aws-apps > 。脅威アクターがAWSのサイトの正当性を利用して認証情報を窃取する方法と対策について解説しています。
AWSを利用する手口
AWSは、クラウドストレージやホスティングを提供するソリューションの中でも最もポピュラーなサービスのひとつであり、大手企業から個人に至るまで利用が急速に拡大しています。
AWSの用途の一つとしてウェブページの構築とホスティングがあり、WordPressや完全なカスタムコードで作成したページをホストすることが可能です。コーディングの知識があるハッカーはこの用途を利用してAWS上にフィッシングページを構築し、このページのリンクを電子メールで送信するという方法で、セキュリティスキャンを回避しユーザーの認証情報を窃取しています。
攻撃
この攻撃でハッカーはAWSのアプリケーションを利用しフィッシングページを作成します。
・攻撃ベクトル:電子メール
・攻撃タイプ:認証情報の窃取
・攻撃の手口:「スタティック・エクスプレスウェイ」
・ターゲット:あらゆるエンドユーザー
画像1:電子メールの例1
[画像1: https://prtimes.jp/i/21207/139/resize/d21207-139-076cdb9a6233284b5666-0.png ]
画像1が示すように、被害者となるユーザーに対して表示される電子メールは、パスワードの期限切れを知らせる通常の見た目をしています。
画像2:電子メールの例2
[画像2: https://prtimes.jp/i/21207/139/resize/d21207-139-d2ef623d49a8d54d21fa-2.png ]
この電子メールにはいくつか特徴的な点があります。まず、送信者のアドレスは偽のニックネームとともに表示されている一方で、アドレスのドメイン自体はAWSの正規ドメインである点です。また、画像2が示す通り本文の内容は攻撃には無関係であり、この例ではスペイン語で書かれた文章は、以下のとおりパスワードの期限切れとは全く無関係な内容でした。これはメールサービスのセキュリティスキャナーを混乱させる意図を伺わせます。
オスカー様
昨日は結局お話しすることができませんでしたが、この機会を利用して、弊社で必要な見積もりの詳細について、本メールに記載します。見積書は2022年6月16日木曜日の23時59分までに提出してください。
WhatsAppで伝えたとおり、トミネ貯水池のダムと、ダム内の地震監視システム設置の見積もりを出す必要があります。システムは常時ワイヤレスで監視できる必要があり、閲覧のための専用プラットフォームも必要です。
画像3:リダイレクト先のログインページ
[画像3: https://prtimes.jp/i/21207/139/resize/d21207-139-7b48f715f1d66b14bd95-3.png ]
電子メール内に示されたリンクをクリックすると、画像3のようなログインページにリダイレクトされます。URLは被害者の会社のドメインであり、メールアドレスがあらかじめフォーム入力され、会社のロゴが表示されています。ここにパスワードを入力すれば、被害者の認証情報の窃取が完了します。
急増する「スタティック・エクスプレスウェイ」
受信トレイ内に侵入する最近の手口として、正当なサービスを便乗先として利用する攻撃、いわゆる「スタティック・エクスプレスウェイ < https://www.avanan.com/resources/white-papers/the-static-expressway > 」が急増しています。メール内コンテンツの安全性の判断に静的な許可リストやブロックリストを使用しているメールサービスは、こうした攻撃に対して無力です。メールサービスによる判断基準はウェブサイトの安全性に対して適用され、AWSは一般的に信頼されており、また一括してブロックするには大規模かつ普及度が高すぎるため、常に安全なものと判断されます。このような便乗型の攻撃例は、Google < https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware > 、QuickBooks < https://www.avanan.com/blog/sending-phishing-emails-from-quickbooks > 、PayPal < https://www.avanan.com/blog/sending-phishing-emails-from-paypal > のほか、様々な企業 < https://www.avanan.com/blog/topic/attack-briefs > で見られます。
すなわち、メールの送信、攻撃に使用するサイトのホスティングにセキュリティ上評価の高いAWSを利用し、またメールのコンテンツもフィッシングとして特定しづらくするなど、セキュリティの検査を回避可能なテクニックが特徴です。
このタイプの攻撃は受信トレイへの侵入が容易であり、被害者側の警戒心も低く行動を促しやすいため、ハッカーに極めて大きな成功をもたらします。Avananは既にAWSに対しこの攻撃手法に関する通知を行っており、今後も調査分析と情報公開を続けます。
攻撃への対策:ベストプラクティスと推奨事項
このような攻撃から身を守るために、以下の対策が推奨されます。
・リンクをクリックする前に、必ずその上にカーソルを置きリンク先のURLを確認する
・メールの正当性についてIT部門への問い合わせを周知徹底する
・要求された手続きを続行する前に、メール本文の内容を必ず確認する
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
AWSを利用する手口
AWSは、クラウドストレージやホスティングを提供するソリューションの中でも最もポピュラーなサービスのひとつであり、大手企業から個人に至るまで利用が急速に拡大しています。
AWSの用途の一つとしてウェブページの構築とホスティングがあり、WordPressや完全なカスタムコードで作成したページをホストすることが可能です。コーディングの知識があるハッカーはこの用途を利用してAWS上にフィッシングページを構築し、このページのリンクを電子メールで送信するという方法で、セキュリティスキャンを回避しユーザーの認証情報を窃取しています。
攻撃
この攻撃でハッカーはAWSのアプリケーションを利用しフィッシングページを作成します。
・攻撃ベクトル:電子メール
・攻撃タイプ:認証情報の窃取
・攻撃の手口:「スタティック・エクスプレスウェイ」
・ターゲット:あらゆるエンドユーザー
画像1:電子メールの例1
[画像1: https://prtimes.jp/i/21207/139/resize/d21207-139-076cdb9a6233284b5666-0.png ]
画像1が示すように、被害者となるユーザーに対して表示される電子メールは、パスワードの期限切れを知らせる通常の見た目をしています。
画像2:電子メールの例2
[画像2: https://prtimes.jp/i/21207/139/resize/d21207-139-d2ef623d49a8d54d21fa-2.png ]
この電子メールにはいくつか特徴的な点があります。まず、送信者のアドレスは偽のニックネームとともに表示されている一方で、アドレスのドメイン自体はAWSの正規ドメインである点です。また、画像2が示す通り本文の内容は攻撃には無関係であり、この例ではスペイン語で書かれた文章は、以下のとおりパスワードの期限切れとは全く無関係な内容でした。これはメールサービスのセキュリティスキャナーを混乱させる意図を伺わせます。
オスカー様
昨日は結局お話しすることができませんでしたが、この機会を利用して、弊社で必要な見積もりの詳細について、本メールに記載します。見積書は2022年6月16日木曜日の23時59分までに提出してください。
WhatsAppで伝えたとおり、トミネ貯水池のダムと、ダム内の地震監視システム設置の見積もりを出す必要があります。システムは常時ワイヤレスで監視できる必要があり、閲覧のための専用プラットフォームも必要です。
画像3:リダイレクト先のログインページ
[画像3: https://prtimes.jp/i/21207/139/resize/d21207-139-7b48f715f1d66b14bd95-3.png ]
電子メール内に示されたリンクをクリックすると、画像3のようなログインページにリダイレクトされます。URLは被害者の会社のドメインであり、メールアドレスがあらかじめフォーム入力され、会社のロゴが表示されています。ここにパスワードを入力すれば、被害者の認証情報の窃取が完了します。
急増する「スタティック・エクスプレスウェイ」
受信トレイ内に侵入する最近の手口として、正当なサービスを便乗先として利用する攻撃、いわゆる「スタティック・エクスプレスウェイ < https://www.avanan.com/resources/white-papers/the-static-expressway > 」が急増しています。メール内コンテンツの安全性の判断に静的な許可リストやブロックリストを使用しているメールサービスは、こうした攻撃に対して無力です。メールサービスによる判断基準はウェブサイトの安全性に対して適用され、AWSは一般的に信頼されており、また一括してブロックするには大規模かつ普及度が高すぎるため、常に安全なものと判断されます。このような便乗型の攻撃例は、Google < https://www.avanan.com/blog/google-docs-comment-exploit-allows-for-distribution-of-phishing-and-malware > 、QuickBooks < https://www.avanan.com/blog/sending-phishing-emails-from-quickbooks > 、PayPal < https://www.avanan.com/blog/sending-phishing-emails-from-paypal > のほか、様々な企業 < https://www.avanan.com/blog/topic/attack-briefs > で見られます。
すなわち、メールの送信、攻撃に使用するサイトのホスティングにセキュリティ上評価の高いAWSを利用し、またメールのコンテンツもフィッシングとして特定しづらくするなど、セキュリティの検査を回避可能なテクニックが特徴です。
このタイプの攻撃は受信トレイへの侵入が容易であり、被害者側の警戒心も低く行動を促しやすいため、ハッカーに極めて大きな成功をもたらします。Avananは既にAWSに対しこの攻撃手法に関する通知を行っており、今後も調査分析と情報公開を続けます。
攻撃への対策:ベストプラクティスと推奨事項
このような攻撃から身を守るために、以下の対策が推奨されます。
・リンクをクリックする前に、必ずその上にカーソルを置きリンク先のURLを確認する
・メールの正当性についてIT部門への問い合わせを周知徹底する
・要求された手続きを続行する前に、メール本文の内容を必ず確認する
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。チェック・ポイントのソリューションは、第5世代のサイバー攻撃からお客様を守り、マルウェア、ランサムウェアを含む多様な攻撃に対して業界トップクラスの捕捉率を誇っています。第5世代の脅威に対応するマルチレベルの統合セキュリティアーキテクチャInfinityにより、企業のクラウド、ネットワーク、モバイルデバイスが保有する情報を保護します。チェック・ポイントは、最も包括的かつ直感的なワンポイントコントロールのセキュリティ管理システムを提供し、10万を超えるあらゆる規模の企業および組織のセキュリティを維持しています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。