- Barracudaは、Tycoonがメール内で悪意のあるリンクを隠す新たな手法を提供していると発表
- URLエンコーディング、偽CAPTCHA、ドメイン分割、その他の手法が実際に確認された
- 研究者らは、企業に多層的なセキュリティ対策の導入を推奨
現在、メール経由の攻撃の大半を占める人気のフィッシングキット「Tycoon」は、脅威アクターがマルウェアや悪意のあるリンクをメールメッセージ内で隠すための新たな手法を追加した模様です。
セキュリティ研究企業のBarracudaは、URLエンコーディング、偽CAPTCHA、冗長なプロトコルプレフィックス手法、「@」記号の利用、サブドメイン分割の悪用など、実際に観測された多数の新たな手法を詳細にまとめたレポートを公開しました。
URLエンコーディング手法では、攻撃者がウェブアドレス内に一連の不可視スペースを挿入し、リンクの悪意ある部分をセキュリティスキャンから見えない位置に押し出したり、Unicode記号などの奇妙な文字を追加したりします。
多層防御
「予期しない、または珍しいコードや記号を使い、見えるウェブアドレスをより普通のウェブサイトのように見せることで、このエンコーディング手法はセキュリティシステムを欺き、受信者や従来のフィルターが脅威を認識しにくくすることを狙っています」とBarracudaは説明しています。
一方、偽CAPTCHAは、ウェブサイトをより正規のものに見せかけると同時に、基本的なセキュリティチェックを回避します。
冗長なプロトコルプレフィックス手法では、部分的にしかハイパーリンク化されていない、または無効な要素(例:‘https’が2つある、‘//’がない等)を含むURLを作成します。これにより、リンクの本当の遷移先を隠しつつ、アクティブな部分を正規のものに見せかけます。また、「@」記号はウェブアドレス内で悪意のある部分を隠すために利用されます。
「@」より前の部分はブラウザによって「ユーザー情報」として扱われるため、攻撃者はここに「office365」など信頼できそうな文字列を入れることができます。リンクの本当の遷移先(悪意のあるランディングページ)は「@」の後ろに記載されます。
また、Tycoonキットはサブドメインでの善意/悪意の分割も可能です。攻撃者は、著名企業に関連しているように見える名前(例:’office365Scaffidips.azgcvhzauig.es’)を使って偽サイトを作成できます。これにより、被害者はMicrosoftのサブドメインだと誤認する可能性がありますが、アドレスの末尾部分が実際には攻撃者が所有するフィッシングサイトとなっています。
フィッシングはますます複雑かつ高度化しており、その分発見も困難になっています。Barracudaは、最善の防御策は、異なるレベルのセキュリティで異常や予期しない動作を検知・調査・遮断できる多層的なアプローチだと述べています。
また、AIや機械学習を活用したソリューションと、定期的な従業員向けセキュリティ教育の組み合わせも推奨しています。
