攻撃者がフィッシングリンクをURLスキャンサービスでラッピングし、検出を回避

攻撃者は、メールセキュリティサービスのURLラッピングの仕組みを悪用して、フィッシングリンクを隠し、悪意のあるキャンペーンに信頼性を持たせています。

メールセキュリティサービスは、メールメッセージ内のURLを中継ドメイン経由でスキャンするために書き換えることがよくあります。URLスキャンサービスを経由してリンクをリダイレクトするのは直感に反するように思えるかもしれませんが、攻撃者はこれらのサービスがフィッシングページの検出とブロックを開始するまでの遅延を利用しています。

Cloudflareのメールセキュリティチームの研究者は、過去2か月間にProofpointやIntermedia.netのサービスによって保護された侵害済みメールアカウントを悪用した複数のフィッシングキャンペーンを特定しました。これらのアカウントから送信されたメール内のURLは、セキュリティサービスによって自動的に書き換えられ、http://urldefense.proofpoint.comやhttp://url.emailprotection.link（Intermedia）などのドメインを指すようになっていました。

「リンクラッピングは、Proofpointのようなベンダーによって、クリックされたすべてのURLをスキャンサービス経由でルーティングし、既知の悪意のある宛先をクリック時にブロックできるように設計されています」とCloudflareの研究者は攻撃に関するレポートで述べています。「これは既知の脅威に対しては有効ですが、ラッピングされたリンクがクリック時にスキャナーによってフラグ付けされていない場合、攻撃は依然として成功する可能性があります。」

これらの悪意のあるメールの受信者は、リンクがすでにセキュリティサービスによって検証されていると考え、ラッピングされたリンクをクリックしやすくなります。同時に、評判ベースのスパムフィルターは、これらのリンクが信頼できるドメインを指しているように見えるため、ブロックに失敗することがあります。

複数層の難読化

攻撃者は、機会の窓を最大化するために、最終的なペイロードを隠す追加の手法も用いています。あるキャンペーンでは、フィッシングURLが複数のリダイレクトドメインを経由し、Proofpointのリンク書き換えサービスでラッピングされ、さらにURL短縮サービスも通過するなど、複数層の難読化が施されていました。

フィッシングメールの誘導内容はさまざまです。メッセージにアクセスするためのボタン付き偽のボイスメール通知、Microsoft Teams経由で受信したとされるメッセージの通知、Zix Secure Message経由で送信されたセキュアドキュメントの通知などがあります。しかし、いずれの場合も、一連のリダイレクトを経て最終的に到達するランディングページは、ユーザーの認証情報を収集するために設計された偽のMicrosoft Office 365ログインページでした。

「このキャンペーンが信頼されたリンクラッピングサービスを悪用していることは、攻撃の成功率を大幅に高めています」とCloudflareの研究者は述べています。「攻撃者は、ユーザーがこれらのセキュリティツールに本質的に持つ信頼を悪用しており、それがクリック率の上昇につながっています。」

URLセキュリティスキャナーのリンクラッピング機能を悪用するのは興味深い展開ですが、正規サービスを悪用して悪意のあるペイロードを隠す手法自体は新しいものではなく、今後もなくなることはないでしょう。リンクを検査するのが人間であれソフトウェアであれ、検出はドメインの評判だけに頼るべきではありません。組織は、従業員がフィッシングページにアクセスした際にそれを見抜く方法を教育し、自動化ツールはこうしたページを特定するために、より高度なコンテンツ検出アルゴリズムを使用すべきです。