新たな手法がPDFを利用してフィルターを回避し、悪意のあるペイロードを取得します。
企業ユーザーは、怪しいリンクをクリックしたり、不審なファイルをダウンロードしたりしないよう、すでに注意していることでしょう。しかし、無害で日常的に使われるPDFについてはどうでしょうか?
セキュリティ企業Varonisの研究者は、Gmailフィッシング攻撃の巧妙な新手法を発見しました。これはPDF添付ファイルを装うだけでなく、自動的に被害者に開くよう促します。
MatrixPDFツールキットは、ぼかし処理されたコンテンツやオーバーレイを利用して被害者をだまし、JavaScriptを埋め込むことでフィルターを回避し、ユーザーに気付かれずに悪意のあるペイロードを取得します。
「.pdfファイル形式は、個人利用でもビジネス利用でも広く普及しています」とErik Avakian氏(Info-Tech Research Groupのテクニカルカウンセラー)は述べています。「これが信頼につながっています。人々は.pdfを見ると安全だと思い込むのです。.exeや.zipのような他の添付ファイル形式ほど警戒されません。」
MatrixPDFが機能する理由
MatrixPDFは、偽のプロンプトやJavaScriptアクション、自動リダイレクトを一見正当なPDFファイルに埋め込みます。攻撃者は、被害者がプロンプトをクリックした際にPDFが誘導する外部リンクを指定したり、パドロックアイコンや企業ロゴを取り入れるなどして文書の見た目を本物らしく変更したり、内容を隠すために文書をぼかしたりできます。
Varonisの研究者によると、攻撃者がMatrixPDFを使う方法は2つあります。1つ目はGmailのプレビュー機能を悪用するものです。生成されたPDFは、スクリプトと外部リンクのみを含み、通常マルウェアに関連付けられる標準的なURLハイパーリンクが含まれていないため、セキュリティ対策やフィルターをすり抜けることができます。
PDFは通常通り表示されますが、文書のテキストはぼかされ、「安全なドキュメントを開く」というプロンプトが表示されます。これは本質的にフィッシングの誘いです。被害者がボタンをクリックすると、外部サイトがブラウザで開きます。研究者は、埋め込まれたリンクが公開サイトでホストされている正規のSSHクライアントのダウンロード先を指していた例も発見しています。
この手法はGmailのセキュリティを回避します。なぜなら、マルウェアスキャンでは「犯罪的な」ものは何も見つからないからです。悪意のあるコンテンツはユーザーが積極的にクリックしたときにのみ取得され、Gmailはこれをユーザー主導とみなして危険と判断しません。さらに、ファイルのダウンロードはメールプラットフォームのウイルス対策サンドボックス外で行われるため、セキュリティフィルターが介入できません。
この手法は、攻撃者が攻撃をメール(配信)とウェブ(ペイロード取得)に分割することで検知を回避できることを示しています。
2つ目のMatrixPDF手法は、PDFに埋め込まれたJavaScriptを利用します。被害者がPDFをデスクトップリーダー(Adobe Acrobatなど)やブラウザのネイティブビューアでダウンロードまたは開くと、スクリプトが実行されます。PDFは自動的にペイロードのURLに接続し、ファイルを取得します。
通常、PDFリーダーは外部リソースへのアクセスを試みる文書に対してセキュリティ警告を表示しますが、この手法ではPDFが「一見正当そうな」短縮URLにアクセスするよう設定されており、被害者には許可を求めるポップアップが表示されます。「許可」をクリックすると、スクリプトが悪意のあるペイロードを取得してダウンロードを開始し、文書がユーザーのデバイスに保存されてマルウェアが実行されます。
この手法が成功するのは、ユーザーがリンクをクリックする必要がないためですが、アクセス許可を与えるかどうかにかかっていると研究者は指摘しています。
「フィッシングメールにおける武器化されたPDFは、長年にわたり悩みの種でした」とDavid Shipley氏(Beauceron Security)は述べています。「このツールは、サイバー犯罪者がそれを非常に簡単に作成できるようにします。」
個人メールの利用が企業リスクを高める
従業員が企業の端末から個人メールアカウントにアクセスするケースが増えています。これはハイブリッドやリモートワーク環境では一般的です。しかし、MatrixPDFのような使いやすいツールがハッカーの手にあることを考えると、専門家は企業に対しより警戒を強めるよう助言しています。
InfoTechのAvakian氏は、CISOやCIOは企業インフラ利用時の個人Webメールへのアクセスを制限するか、正当な必要性がある場合のみ許可する機会を検討すべきだと述べています。個人メールは企業メールのセキュリティサービスほどの保護がありません。
PDFは.exeや.zipなど他の添付ファイルほど警戒されないと彼は指摘します。「悪意のある者はこれを知っていて、このような心理的な常識につけ込むのです」とAvakian氏は述べています。攻撃が成功すると、ネットワークへのアクセスを得て横展開し、権限をさらに昇格させ、さらなるマルウェアを仕込むことができます。
この新しいメール攻撃ベクトルは「ソーシャルエンジニアリングの危険な進化」だと、脅威インテリジェンス企業SOCRadarのCISOであるEnsar Seker氏は指摘しています。
「[これにより]エンドポイントがキルチェーンの最も弱いリンクになります」と彼は述べています。「一度侵害されると、1台のデバイスが横展開、認証情報の窃取、ランサムウェア展開の初期アクセスの足掛かりとなり得ます。」
企業が自衛するためには
しかし、BeauceronのShipley氏によれば、リンク型、添付ファイル型、QRコードスキャン型など様々なフィッシングの中で、添付ファイル型は成功率が比較的低いという(良い意味での)ニュースもあります。これは、メール内のリンクをクリックするだけよりも、ユーザーに追加の認知的努力や手順が必要だからです。
組織はメールフィルターへの投資とセキュリティ意識向上トレーニング(頻繁かつ効果的に実施されるもの)とのバランスを取るべきだと彼は述べています。最終的には、従業員が警戒を怠らないよう動機付ける必要があります。
CISOは技術的な防御策を超えて明確なガードレールを設けるべきだと、SOCRadarのSeker氏は助言します。これは、既知の悪質なファイルタイプのブロック、堅牢な添付ファイルのサンドボックス化、配信後の不審なファイル挙動を監視するエンドポイント検出の活用などを意味します。
企業はまた、従業員が企業端末で個人メールにアクセスすることを禁止するポリシーを徹底すべきだと彼は述べています。こうした攻撃の仕組みを従業員に教育することは、今や「一見無害なPDFでさえ、スピアフィッシングキャンペーンの先端になり得る」時代において特に重要です。
Seker氏はさらに「最終的に多層防御には、ユーザーへのゼロトラストだけでなく、ファイルの安全性に対するゼロアサンプションも含める必要があります」と述べています。
Info-TechのAvakian氏も同意し、MatrixPDF型の攻撃は、特にサイバーセキュリティ啓発月間において、シンプルな可視化や現実的な「もしも」シナリオを用いた意識向上策やトレーニングを組み込む「素晴らしい機会」だと述べています。企業はまた、「クリックする前に考える」文化を支援し、防御の最前線である従業員が不審なメールを簡単に報告できるようにすべきです。
同じくらい重要なのは、組織が「正しい行動をした人を見つけて評価する」ことだと彼は助言しています。
「認識は大きな効果をもたらします」とAvakian氏は述べています。「フィッシングの試みを見抜いて報告した従業員を評価することで、セキュリティリーダーは意識を徐々に高め、セキュリティ志向の文化を醸成できます。」
