マルウェアやランサムウェア攻撃がますます蔓延する中、サイバーセキュリティは多くの業界や個人にとって重要な課題となっています。Googleのメールクライアントも、悪意のある攻撃者によって侵害された例の一つです。クラウドメールセキュリティ企業Avananは最近、少なくとも4月からフィッシング攻撃者がGmailのSMTPリレーサービスを悪用していたことを発見しました。
SMTPリレーサービスを利用して、なりすまし業者はフィッシングメールを正規の企業に偽装することでユーザーの迷惑メールフォルダを回避し、ハッキングが行われているにもかかわらず、悪意のあるメールが本物であるかのように見せかけることができます。Gmailでは、一部のGoogleプランで24時間あたり最大460万通のメールを送信できるため、悪意のある者はフィッシング攻撃を行う際に非常に幅広い攻撃経路を持つことができます。
「サイバー犯罪者やソーシャルエンジニアは、様々な手法を用いてメールアドレスを偽装し、他人になりすまそうとしています。彼らは、ユーザーがメールがベンダー、同僚、あるいは経営陣などの偽装されたメールアドレスから送信されたものであるかどうかを確認しようとしないことを期待しています」と、KnowBe4のセキュリティ意識向上アドボケートであるジェームズ・マクキガン氏は述べています。「メールアドレスを確認し、ユーザーに確認してメールが認証済みかどうかを判断することで、ユーザーは『差出人』欄の名前を盲目的に受け入れてしまうため、メールアカウントと組織を保護するために必要な措置を講じる必要があります。」
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
フィッシング攻撃を本物らしく見せる
Avananによると、ハッカーはDMARC=rejectコマンドが適切に設定されていないことで、このメール脆弱性を悪用することができます。DMARCは、企業のIT管理者が攻撃者による組織のサーバーやドメインのなりすましを防ぐのに役立つ標準的なメール認証方法です。「DMARC=reject」コマンドが適切に実装されていない場合、フィッシング詐欺師はメールが実際の送信元から送信されたかのように見せかけることができます。
「脅威アクターは常に新たな攻撃ベクトルを探しており、スパムフィルタリングなどのセキュリティ対策を確実に回避する独創的な方法を見つけ出しています」と、Cerberus Sentinelのソリューションアーキテクチャ担当バイスプレジデント、クリス・クレメンツ氏は述べています。「最近、標的のホワイトリストに登録される可能性を高めるために、『信頼できる』ソースを利用する攻撃者が増加しています。調査で指摘されているように、今回の攻撃ではGoogleのSMTPリレーサービスが利用されていましたが、同様の攻撃は、最初の被害者のメールシステムに侵入し、それを利用して二次的な標的にさらなる攻撃を仕掛けるという形で行われています。」
ハッカーがこれを実行する方法として、SMTPサービスとしてsmtp-relay.gmail.comを使用するというものがあります。この設定が確立されると、上記の例のVenmoのように、一見本物の送信元を装ったフィッシング攻撃が発生する可能性があります。このメールは正当な企業とドメインから送信されたように見えるため、Gmailのスパムフィルターを回避し、正当なサイトからのメールとしてユーザーの受信トレイに届きます。
フィッシング攻撃を防ぐ方法
組織の観点から見ると、DMARCを拒否設定にすることで、悪意のある送信元が企業のサーバーを利用してフィッシングメールを送信するのを防ぐことができます。十分に保護されている企業のほとんどは既にこの対策を講じていますが、今回の脆弱性攻撃を受けて、すべての企業はメール操作による不正利用の可能性に対するパッチ適用を検討する必要があります。
「組織は、メールサーバーにDMARC設定を用いてドメイン検証を実施すべきです。これにより、組織はメールを受信トレイに送る前にドメインの検証をリクエストできます」とマクキガン氏は述べています。「メールサーバーのSender Policy Framework設定は、送信者のメールアドレスを認証します。最後に、ヘッダーを暗号化することで、DKIM(Domain Key Identified Mail)による中間者攻撃を防止できます。DMARCは徐々に普及していますが、組織はこの設定を15分以内に迅速に実装することで、ドッペルゲンガードメインによるなりすましメール攻撃のリスクを軽減できます。」
エンドユーザーの観点からは、ベストプラクティスの採用が常に推奨されます。Avananが概説する以下の3つのポイントは、このような攻撃を防ぐのに役立ちます。
- メールに返信する前に送信者のアドレスを確認してください
- リンクをクリックする前に、必ずリンクの上にマウスを移動してリンク先の URL を確認してください。
- メール認証基準が適切であることを確認する
これらのヒントに従うことで、ユーザーは機密データを保護し、その過程で個人的な悩みを軽減することで、次の大規模なサイバー攻撃の被害者になることを防ぐことができます。
TechRepublic Academy の以下のリソースを活用して、サイバーセキュリティに関するあらゆることを習得しましょう。
