件名のないフィッシングメールの急増が、高価値ユーザーを標的にした広範なキャンペーンの一環として特定されています。
サイバーセキュリティ企業Cyberproofが4月21日に詳細に説明した知見によると、サイレント件名またはヌル件名フィッシングとして知られるこの活動は、メール防御の技術的盲点と人間の好奇心の両方を利用するよう設計されています。
研究者たちは、攻撃者が複数のドメインから空白または曖昧な件名フィールドを持つメールを配信し、受信者が通常の警告キューなしにメッセージを開くよう促していることを観察しました。目的は認証情報の収集を通じた初期アクセスであり、その後、エンタープライズ環境内での横展開の可能性があります。
回避技術と配信方法
これらのキャンペーンの急増を推し進める要因の1つは、従来のメールセキュリティ管理を回避する能力です。多くのフィルタリングシステムは、件名行の分析に依存して疑わしいメッセージにフラグを付けており、特に既知のフィッシングキーワードを含むものです。件名を削除すると、検出エンジンで利用可能なデータが減少し、組み合わせられた信号に基づいてリスクを評価する機械学習モデルが弱くなります。
メールにはしばしば悪意のあるリンク、QRコード、添付ファイルが含まれており、攻撃者は無害に見えるにもかかわらずペイロードを配信することができます。埋め込まれたコードはユーザーを詐欺的なログインページまたはマルウェアダウンロードにリダイレクトし、監視が限定されている個人用モバイルデバイスへのやり取りが頻繁にシフトしています。
攻撃者はまた、キャンペーンの耐性を維持するためにドメインとペイロードをローテーションします。場合によっては、短縮URLが最終的な宛先を隠し、URLフィルタリング機構をバイパスし、分析を複雑にします。
フィッシング脅威についてもっと読む:パスワードはフィッシングファースト世界での最弱のリンク
正当なツールの悪用とキャンペーン規模
ソーシャルエンジニアリングとともに、キャンペーンは正当なリモート監視および管理ソフトウェアを活用して、悪意のある活動をルーチンのIT操作と組み合わせます。
Cyberproofは、欺瞞的なファイル名で配置されたDatto RMMの亜種を発見し、攻撃者が即座に疑いを招くことなく永続性を確立し、コマンドを実行し、機密データを流出させることを可能にしました。
フィッシング・アズ・ア・サービス(PaaS)ツールキットFlowerStormもこの活動に関連していました。プラットフォームは大規模な配信を自動化し、マルチステージの攻撃チェーンをサポートし、脅威行為者が異なるターゲット全体で戦術を急速に変更することを可能にします。
Cyberproofは、2026年第1四半期中にこれらの攻撃が着実に増加していることを報告しました。活動は1月から2月の間に13.9%上昇し、その後3月にさらに7.0%増加し、継続的な成長を示唆する予測があります。
キャンペーンは、成功した侵害の潜在的な影響を増加させながら、経営幹部と他の特権的なユーザーをしばしば対象にしていました。
リスクを軽減するために、組織は件名行フィルタリングを超えた管理に焦点を当てることをお勧めします。主な対策は以下の通りです:
-
矛盾について完全な送信者アドレスを確認する
-
予期しない添付ファイルまたはリンクを避ける
-
多要素認証(MFA)を実行する
-
従業員に非定型的なフィッシング戦術を認識するよう訓練する
-
メッセージコンテンツと動作を検査する高度なメールセキュリティを配置する
調査結果は、ステルス重視のフィッシング操作へのシフトを示しており、最小限のコンテンツと信頼されたツールが使用されて、高い成功率を維持しながら検出を回避します。
翻訳元: https://www.infosecurity-magazine.com/news/silent-subject-phishing-campaigns/
