フィッシングツールがスマートリダイレクトで検知を回避

出典：Ronstik（Alamy Stock Photo経由）

Microsoft 365ユーザーを標的とした新たなフィッシングツールが登場し、低スキルのサイバー犯罪者によるソーシャルエンジニアリング攻撃の民主化がさらに進んでいます。

このツール「Quantum Route Redirect」は、かつて技術的に複雑だった攻撃フローを簡素化し、さらに独自の回避型リダイレクト機能を提供して、強力なメール保護をも回避できます。KnowBe4の研究者は、このツールが8月から実際に使われているのを観測し、Microsoft 365ユーザーの認証情報を盗むフィッシングキャンペーンを発見したと、ブログ記事で今週明らかにしました。

現在、約1,000のドメインがQuantum Route Redirectをホストしており、「高度な自動化プラットフォーム」を提供して、トラフィックのリルーティングや被害者の追跡などのキャンペーン機能を効率化しています。

これまでに研究者が観測したこのツールを使ったキャンペーンは、90カ国以上で被害者を出すことに成功しており、「驚くべき国際的な広がりを示している」とKnowBe4のアナリストであるJeewang Singh Jalal、Prabhakaran Ravichandhiran、Anand Bodkeは記事で述べています。攻撃の大半は米国で発生しており、被害者の76%を占め、残りの24%はオーストラリアを除く全大陸に分布しています。

「Quantum Route Redirectは、サイバー犯罪のアクセス性における憂慮すべき進化を示しています」と彼らは指摘します。「技術的な障壁を取り除くことで、最小限の専門知識しか持たない新たな世代の脅威アクターが高度なキャンペーンを展開できるようになっています。」

シンプルなフィッシングキャンペーンの開発

Quantum Route Redirectが新たなフィッシング攻撃者にとって強力な武器となる秘密の要素は2つあると、研究者は指摘します。1つはそのシンプルさで、「事前設定されたセットアップにより、高度なフィッシングキャンペーンを開始するための技術的専門知識が不要となり、その結果、世界中の組織を標的とした高度なフィッシング攻撃の件数が増加する可能性がある」と述べています。

このツールは、従来は開発が難しかった攻撃ステップをワンクリックで開始できるようにし、最も未熟な攻撃者でも多様なテーマや戦術を用いた効果的なキャンペーンを簡単に展開できるようにします。これには、Docusignや他のサービス契約のなりすまし、給与支払いのなりすまし、支払い通知メール、不在着信メッセージ、QRコードフィッシング（クイッシング）などが含まれます。

さらに、URLは一貫して「/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/」というパターンに従い、通常はパークドメインや侵害されたドメインでホストされます。これにより攻撃者は、攻撃対象となる人間をソーシャルエンジニアリングでだまし、ブランドなりすましの力を利用して被害者を欺くことができます。「各バリアントは最終的に受信者を同じ目標、つまりQuantum Route Redirectで管理される認証情報収集ページへと誘導します」と研究者は述べています。

Quantum Route Redirectのリダイレクトがセキュリティを回避

ここで、このツールの2つ目の重要な側面が登場します。それは、Microsoft 365のメールシステムの保護を迅速に回避できるリダイレクトシステムです。ビジネスやエンタープライズ向けのMicrosoft 365導入環境では、通常、Microsoft Exchange Online Protection（EOP）、セキュアメールゲートウェイ（SEG）、そして場合によっては統合型クラウドメールセキュリティ（ICES）製品が含まれており、これらは突破が最も困難です。

これらの検知技術はURLスキャンに依存しており、一部は配信時のみURLを分析し、疑わしいメールを隔離し、安全そうなものをユーザーの受信箱に送ります。サイバー犯罪者は、メールがこの初期分析を通過した後に最終的な遷移先を変更することで、この防御をすでに突破しています。そのため、一部の製品はクリック時の分析も行い、配信後にURLが悪用された場合にはユーザーのアクセスをブロックします。

これらの高度な検知さえも回避するために、フィッシングハイパーリンクで配信されるQuantum Route Redirectのペイロードは、「訪問者」—つまりセキュリティツールか人間か—を自動的に識別し、インテリジェントなリダイレクトシステムで管理できます。

そのため、ハイパーリンクをスキャンするセキュリティツールは正規のウェブサイトにリダイレクトされ、元のメールが無害であると誤認し、受信者がそれにアクセスできるようになります。一方、ハイパーリンクにアクセスした人間は、直接フィッシングページに誘導されます。

KnowBe4の研究者は、Quantum Route RedirectがWebアプリケーションファイアウォール製品さえも欺き、「複数の異なるセキュリティ層を回避できる」と述べています。

高度なフィッシングキャンペーンへの防御方法

攻撃者がAIやその他の手法を駆使して最新のセキュリティ技術を回避する、ますます高度なツールを使いこなす中、防御側も企業のメールシステムを守るためにセキュリティ体制の強化を検討する必要があります。

Quantum Route Redirect技術を使った攻撃に対しては、組織は統合型クラウドメールセキュリティ製品と従来型のメールセキュリティ（SEG）との違い、特に自然言語処理（NLP）や自然言語理解を用いてメール本文を分析する点に注目すべきです。NLPは、ドメイン・URL分析、なりすまし検知などと組み合わせて、メッセージの文脈を把握し、このツールが用いるインテリジェントなリダイレクトを見破るのに役立つと研究者は指摘しています。

さらに、組織はメールセキュリティ製品とWebアプリケーションファイアウォール製品の両方にURLフィルタリング機能を持たせ、Quantum Route Redirectのような攻撃を緩和できるようにすべきです。KnowBe4はまた、組織が内部またはマネージドセキュリティサービスプロバイダーを通じてサンドボックス技術を導入し、悪意のある可能性のあるメールを検査することも推奨しています。