eSecurity Planet のコンテンツおよび製品の推奨は、編集上の独立性を保っています。パートナーへのリンクをクリックいただくことで、当社が収益を得る場合があります。 詳細はこちら
攻撃者たちは、新世代のAI搭載型メールセキュリティツールをすり抜けるために、古くから存在するスパム回避手法を再利用しています。
Barracudaの研究者は、4月以降、小売をテーマにしたフィッシングメール100万通以上で「テキスト・ソルティング」という手法が使われているのを確認したと報告しています。これは、無害に見える大量のコンテンツをメッセージ内に隠し込み、自動セキュリティシステムによる分類を操作する手口です。
Barracudaのシニア脅威アナリスト、Pranati Sethy氏はeSecurityPlanetへのメールで「攻撃者はフィッシングメールの中に無害に見えるテキストを隠し込み、セキュリティツールに対してメッセージがより安全であるかのように見せかけています」と述べています。
同氏はさらに、「これは、メール防御システムが『何が隠されているか』を見極め、受信者に実際に表示されるメッセージに焦点を当てる必要があることを改めて示すものです」と説明しています。
Pranati氏は「攻撃者がコンテンツベースの検知を回避する新たな手口を次々と編み出す中、メール全体の文脈を考慮することの重要性はますます高まっています」と付け加えています。
Barracudaによるソルトテキスト型フィッシング調査の要点
- Barracudaは、AI搭載型および従来型のメールセキュリティシステムを欺くためにテキスト・ソルティングを用いたフィッシングメールを100万通以上確認
- テキスト・ソルティングは、フィッシングメール内に大量の無害なテキストを隠し込み、自動検知エンジンに対して悪質なメッセージをそれほど怪しくないものと認識させる手口
- 攻撃者は、信頼されたインフラ、認証済みドメイン、隠蔽されたHTMLコンテンツ、CSSによる隠蔽技術、そしてゼロフォントを組み合わせ、フィッシングメールの到達率を高めている
- 受信者に表示される実際のフィッシングメッセージ自体は変わらないが、隠されたコンテンツによって一部のセキュリティツールによる解釈が変化する
- 組織は、キーワードやAIベースの検知のみに頼るのではなく、レンダリングされたコンテンツを解析し隠蔽コンテンツによる回避を検知する多層的なメールセキュリティを導入すべき
テキスト・ソルティング攻撃の仕組み
キーワードベースのスパムフィルターを標的とする従来型のフィッシングキャンペーンとは異なり、これらの攻撃はAI搭載型メールセキュリティシステムがコンテンツをどう解釈するかを操作するよう設計されています。
攻撃者は単に悪質な単語を隠すのではなく、無害なテキストを挿入することで機械学習や大規模言語モデル(LLM)ベースの検知エンジンを操り、フィッシングメールを正当なメールと誤認させています。
Barracudaの調査によれば、これらのキャンペーンは、侵害された正規サイトや、DKIMを設定したなりすましドメイン上でホストされる、攻撃者が管理するインフラから始まります。
認証チェックを通過するインフラを利用することで、攻撃者はメールが初期のセキュリティスクリーニングをすり抜ける可能性を高めています。
フィッシングメールの構成方法
フィッシングメール自体には、性質の異なる2つのコンテンツ層が含まれています。
受信者の目に映るのは、ポイントやロイヤルティ特典、ギフトカードがまもなく失効すると告げ、即座の対応を促す緊急性の高い小売テーマのメッセージです。
しかし、この可視化されたメッセージの背後には、物語やプロジェクトのメモ、会話文、あるいはpuppy(子犬)、training(トレーニング)、book(本)、rhythm(リズム)といったランダムな単語からなる、無関係な大量のテキストブロックが隠されています。
これらの無害な単語は、reward(報酬)、expires(失効)、gift card(ギフトカード)といった不審な用語の濃度を薄める役割を果たし、受信者から見たメッセージ自体は変わらないまま、一部の自動検知エンジンにはメール全体の悪質性が低く見えるようにしています。
メール内で隠蔽コンテンツが検知されずに済む仕組み
隠蔽したコンテンツを見えないままに保つため、攻撃者は単一の手法に頼るのではなく、複数のHTMLおよびCascading Style Sheets(CSS)による隠蔽技術を組み合わせています。
研究者らは、表示領域を切り詰めたり、行の高さを縮小したり、テキストを画面外に移動させたり、スクロールバーを非表示にしたりすることで隠蔽コンテンツを見えないまま保つCSS技術を確認しています。
研究者らはまた、「ゼロフォント」と呼ばれる手法も確認しています。これは、見覚えのあるフィッシング文言の中に直接ランダムな隠し単語を埋め込み、その挿入テキストのフォントサイズをゼロに設定するというものです。
例えば、背後にあるHTMLには「Your pass [隠しテキスト] word expired.」のような文言が含まれている場合があります。
挿入されたテキストはユーザーには見えないため、受信者にはあくまで「Your password expired.(パスワードの有効期限が切れました)」と読めます。
しかし、HTMLソース内で完全一致する文言を探すセキュリティツールはこれを検知できない場合があり、シグネチャベースやパターンマッチングによる一部の検知手法をフィッシングメールがすり抜けてしまう恐れがあります。
Barracudaは、これらのキャンペーンは、現代のメールセキュリティが背後にあるHTMLやソースコードだけでなく、ユーザーが実際に目にするメッセージそのものを解析すべき理由を如実に示していると述べています。
テキスト・ソルティングのリスクを低減するには
フィッシング手法が進化を続ける中、組織は一部の悪質なメールが従来型の防御を最終的にすり抜けてしまうことを前提とすべきです。
テキスト・ソルティング攻撃への対策には、高度なメールセキュリティ、強固なID保護、そして十分な訓練を受けたユーザーを組み合わせた多層的な戦略が必要です。
- 多層的なメールセキュリティを導入する。キーワードやAIベースの検知のみに頼るのではなく、レンダリングされたコンテンツ、HTML構造、送信者の評判、認証結果、埋め込みリンク、行動上の異常を解析すること。
- 隠蔽コンテンツによる回避を検知する。テキスト・ソルティングをはじめとするHTML隠蔽技術など、ユーザーに見えるメールと背後のソースコードとの差異を特定すること。
- クリック時URL保護またはリモートブラウザ分離を有効化する。初期のメールスキャンをすり抜ける悪質なウェブサイトのブロックに役立つ。
- フィッシング耐性のあるMFAを導入する。パスキーやFIDO2セキュリティキーなどを用いることで、侵害された認証情報がアカウント乗っ取りに悪用されるリスクを低減できる。
- メール認証を強化する。SPF、DKIM、DMARCを活用するとともに、脅威インテリジェンスを用いて既知の悪質なドメインやフィッシングインフラをブロックすること。
- 定期的なフィッシング啓発トレーニングを実施し、従業員が不審なメールを容易に報告できる体制を整える。
- インシデント対応計画をテストする。フィッシングやメール侵害を想定したシナリオで攻撃シミュレーションツールを活用すること。
これらの対策は、組織全体のリスクを低減し、レジリエンスを高める助けとなります。
結論
生成AIの登場により、攻撃者は多種多様な隠しテキストを大量かつ容易に生成できるようになり、テキスト・ソルティングのようなAIを意識した回避手法の利用が拡大しています。
そのため、セキュリティチームは従来型のコンテンツ解析のみに頼るのではなく、自組織のメールセキュリティ基盤がこうした手法を検知できるかどうかを定期的に評価する必要があります。
メールを起点とする攻撃が検知回避の巧妙さを増す中、多くの組織はフィッシングの成功による影響を抑えるべく、ゼロトラストのような、より広範なセキュリティ戦略を見直しています。
翻訳元: https://www.esecurityplanet.com/threats/million-email-phishing-campaign-uses-text-salting/