新たなフィッシング手法がGmailユーザーを標的に

Prae_Studio – shutterstock.com

セキュリティ企業Varonisの研究者は、Gmailユーザーを標的とした巧妙なフィッシング手法を発見しました。この攻撃では、PDF添付ファイルに偽装したマルウェアが使われ、被害者に自動的にそのファイルを開くよう促します。

「.PDFファイル形式は、個人利用でもビジネスでも広く普及しています」とInfo-Tech Research Groupの技術アドバイザー、エリック・アヴァキアン氏は説明します。「これが信頼感を生み出します。人々はPDFファイルを見ると安全だと思い込むのです。他のファイル形式、例えば.exeや.zipのような警戒心を呼び起こしません。」

攻撃の仕組み

攻撃者はMatrixPDFというツールキットを開発し、フィッシングとマルウェアの機能を一つのビルダーにまとめています。これにより、偽の入力プロンプトやJavaScriptアクション、自動リダイレクトを一見正当なPDFファイルに埋め込むことができます。

犯罪者は、PDFファイルがリダイレクトする外部リンクを設定できます。また、MatrixPDFを使えば、文書に南京錠のアイコンや企業ロゴを挿入するなど、より説得力のある内容に改変することも可能です。このツールキットは、文書の内容を隠すためにも利用できます。

Varonisの研究者は、攻撃者がMatrixPDFを使う2つの方法を特定しました。1つ目は、Gmailのプレビュー機能を悪用するものです。攻撃者が作成したPDFファイルは、スクリプトと外部リンクのみを含み、通常マルウェアと関連付けられる標準的なURLハイパーリンクを含まないため、セキュリティ対策やフィルターを回避できます。

PDFファイルは通常通り表示されますが、文書のテキストはぼやけており、ユーザーには「安全なドキュメントを開く」というプロンプトが表示されます。これは本質的にフィッシングの誘いです。被害者がボタンをクリックすると、外部ウェブサイトがブラウザで開きます。研究者は、埋め込まれたリンクが公共ウェブサイト上の正規SSHクライアントのダウンロード先に誘導する例も発見しました。

攻撃者はGmailのセキュリティ機能を回避

「この手法はGmailのセキュリティ対策を回避します。なぜなら、マルウェア検査では『疑わしいもの』が見つからないからです」と研究者は説明します。有害な内容は、ユーザーが積極的にクリックしたときのみ取得されるため、Gmailはこれをユーザーによる操作とみなし、危険ではないと解釈します。さらに、ファイルのダウンロードはメールプラットフォームのアンチウイルスサンドボックス外で行われるため、セキュリティフィルターが介入できません。

2つ目のMatrixPDFの手法は、PDFに埋め込まれたJavaScriptを利用します。被害者がPDFファイルをダウンロードしたり、デスクトップリーダー（Adobe Acrobatなど）やブラウザのビューワーで開いたりすると、スクリプトが実行されます。PDFファイルは自動的にペイロードURLに接続し、ファイルを取得します。

「通常、PDFリーダーは、文書が外部リソースにアクセスしようとしていることをユーザーに警告するセキュリティ警告を表示します」とセキュリティ専門家は述べています。しかし、この手法ではPDFが曖昧に正当なものに見える短いURLを呼び出すように設定されています。

その後、被害者にはアクセス許可を求めるポップアップが表示されます。ユーザーが「許可」をクリックすると、スクリプトが悪意のあるワークロードを取得し、ダウンロードが開始されます。文書はユーザーのデバイスに保存され、マルウェアが実行されます。

「この手法が成功するのは、ユーザーがリンクをクリックする必要がないためです。ただし、ユーザーがアクセス権を許可することが前提となります」と調査報告書に記されています。

「フィッシングメールで武器化されたPDFファイルは、長年にわたり問題となっています」とBeauceron Securityのデイビッド・シップリー氏は警告します。「このツールによって、サイバー犯罪者がこのようなファイルを簡単に作成できるようになりました。」

私用メールの利用は企業リスクを高める

従業員は、特にハイブリッドやリモートワーク環境において、企業PCから私用メールアカウントへアクセスすることが増えています。ハッカーがMatrixPDFのような使いやすいツールを利用できる現状を踏まえ、専門家は企業に対し警戒を強めるよう助言しています。

「CISOやCIOは、企業インフラから私用Webメールアカウントへのアクセスを制限する方法や、それが本当に必要な場合を特定することを検討すべきです」とInfo-Techのアヴァキアン氏は助言します。「私用メールには、企業のメールセキュリティサービスと同等のセキュリティ対策が備わっていません。」

SOCRadarのCISO、エンサル・セケル氏は、この新たなメール攻撃ベクトルを「ソーシャルエンジニアリングの危険な進化形」と表現しています。さらに「これによりエンドポイントがキルチェーンの最も弱い部分となります。一度デバイスが侵害されると、横展開や認証情報の窃取、ランサムウェア配布の初期アクセス拠点となり得ます」と述べています。

企業が備えるためには

しかしBeauceronのシップリー氏によれば、添付ファイルを使ったフィッシング攻撃は成功率が比較的低いという良いニュースもあります。なぜなら、メール内のリンクをクリックするだけの攻撃と比べて、ユーザーに追加の認知的負担や操作が必要だからです。

「企業は、メールフィルターへの投資と、頻繁かつ効果的なセキュリティ意識向上トレーニングのバランスを取るべきです」と彼は指摘します。「最終的には、従業員が警戒心を持ち続けるよう動機付ける必要があります。」

SOCRadarのセケル氏は次のように補足します。「CISOは技術的な防御策にとどまらず、明確なガイドラインを設ける必要があります。つまり、既知の有害なファイルタイプをブロックし、添付ファイル用の堅牢なサンドボックスソリューションを導入し、配信後の疑わしいファイル動作を監視するエンドポイント検知を活用することが求められます。」

さらに彼は、企業が従業員による社用端末での私用メールアクセスを禁止するポリシーを徹底することを推奨しています。「この種の攻撃手法について従業員に教育することは、見た目が無害なPDFファイルであってもスピアフィッシングキャンペーンの一端となり得る現代において、特に重要です。」

セケル氏はさらに「最終的には、多層防御はゼロトラストのユーザー管理だけでなく、ファイルセキュリティにおいてもゼロアサンプション（無条件の疑い）を含める必要があります」と述べています。

Info-Techのアヴァキアン氏も同意します。MatrixPDF型の攻撃は、「簡単なビジュアルや現実的な『もしも』シナリオを用いた意識向上施策やトレーニングを統合する絶好の機会」だと述べています。企業は「クリックする前に考える」文化を促進し、従業員＝最初の防衛線が疑わしいメールを簡単に報告できるようにすべきです。

同様に重要なのは、企業が「正しい対応をした従業員をきちんと評価する」ことです。

「認知（承認）は大きな効果があります」とアヴァキアン氏。「フィッシングを見抜いて報告した従業員を表彰することで、セキュリティ担当者は意識を段階的に高め、セキュリティ意識の高い文化を育むことができます。」（jm）