Published: 2023-11-21 08:00
開封確認要求や大量の空白行… 複数の手法を採用したフィッシングメール確認 ~ IPA、J-CSIP 運用状況公開
独立行政法人情報処理推進機構(IPA)は11月9日、2023年7月から9月における「サイバー情報共有イニシアティブ(J-CSIP)運用状況」を発表した。J-CSIPは、IPAを情報ハブに重要インフラで利用される機器の製造業者を中心に、情報共有を行い、高度なサイバー攻撃対策につなげていく取り組み。
【画像全4枚】
運用状況では、2023年7月~9月に参加組織からIPAへ提供された情報の件数は24件(4月~6月は26件)で、このうち5件を標的型攻撃とみなしている。参加組織への情報共有を実施した件数は22件(同23件)となっている。
参加組織からIPAへ提供された情報には、「セキュリティ製品による検知をすり抜けたフィッシングメール」「QRコードを悪用したフィッシングメール」「ネットワーク機器の脆弱性を悪用した攻撃」「ウェブサイトに対する外部からの不審なアクセスを遮断する方法」「自社の類似ドメインが第三者に取得されていることを発見した」「メールの開封確認の要求が設定された不審なメール」などがあった。
メールの開封確認の要求が設定された不審なメールは、メールソフトの機能による開封済みメッセージの応答要求が設定されたメールを受信したというもの。受信者はこのメールを開封せず削除したが、メールソフトが「常に開封済みメッセージを送信する」に設定されており、受信者が気づかないうちに応答メールが送信されていた。
IPAでは、送信者の目的は不明であるものの、宛先メールアドレスが実在しているか、メールアドレスの所有者が実際にメールを開封したか、応答メールのヘッダ情報から読み取れる受信者の環境等の情報を収集することが目的であった可能性が考えられるとしている。業務上必要な場合を除き、自動応答の設定を選択しないよう勧めている。
また、巧妙な手法が組み合わされたフィッシング攻撃の事例として、「複数の手法でセキュリティ製品の回避を試みるフィッシング攻撃」「QRコードを悪用したフィッシング攻撃」を紹介している。
複数の手法でセキュリティ製品の回避を試みるフィッシング攻撃は、Microsoftアカウントの認証情報の詐取を目的としたフィッシングメール数百件が、セキュリティ製品による検知をすり抜け、従業員まで届いたというもの。IPAの調査によると、この事例のフィッシング攻撃には次の特徴的な手法が使われていた。
1:本文に大量の空行を挿入する手法
2:セキュリティ製品に通常のメールのやり取りと誤認させる手法
3:オープンリダイレクトの脆弱性があるサイトを経由する手法
4:フィッシングサイトにCAPTCHA認証を使う手法
このメールは、Microsoft 365からの通知を装い、「本日パスワードの有効期限が切れるため、24時間以内に対応が必要である」として、手続きのために「KEEP MY PASSWORD」のリンクをクリックさせることにより、フィッシングサイトへ誘導するものであった。しかし、その後に大量の空白行が挿入されていた。
受信者には「KEEP MY PASSWORD」でメールが終わっているように見せかけるための手法と考えられる。また、大量の空白行の後には、一般的な内容のメール文章とそれに返信する文章が記載されていた。後半の文章は受信者とは無関係な内容であり、これによりセキュリティ製品に通常のメールのやり取りと誤認させたと考えられる。
さらに、メール本文にあるURLリンクは、「https://【正規サイトのドメイン】/【リダイレクトを行うパラメータ】=【フィッシングサイトのURL】」という構成となっていた。このリンクをクリックすると、オープンリダイレクトの脆弱性があるサイトにアクセスした後に、フィッシングサイトへリダイレクトされる。
これは、フィッシングサイトのURLを隠し、URLリンクが正規サイトのものであると見せかけ、セキュリティ製品による検知の回避を企図したものと考えられる。さらに、リンクをクリックした際に最終的にアクセスするフィッシングサイトでは、CAPTCHA認証画面が表示された。この表示は、セキュリティ製品のクローリングによる悪性サイトの検知を回避することを企図したものと考えられる。
このように、一つのフィッシング攻撃に複数の手法が使われるケースが増えている。IPAでは、複数の技術的なセキュリティ対策と、教育や訓練、注意喚起、報告プロセスの導入など複数の人的なセキュリティ対策の双方を組み合わせることが望ましいとしている。
| # | 言葉 | 意味 |
|---|---|---|
| 10 | 手法 | しゅほう (手法) : technique; method |
| 8 | 攻撃 | こうげき (攻撃) : 1. attack; assault; raid; onslaught; offensive 2. criticism; censure; denunciation; condemnation |
| 8 | 製品 | せいひん (製品) : manufactured goods; finished goods; product |
| 6 | 情報 | じょうほう (情報) : 1. information; news; intelligence; advices 2. information; data contained in characters, signals, code, etc. |
| 6 | 件 | くだん (件) : 1. the aforementioned; the said; (man, incident, etc.) in question; the above-mentioned; the aforesaid 2. the usual |
| 6 | 開封 | かいふう (開封) : opening (an envelope or parcel); breaking the seal; unsealed letter |
| 5 | 設定 | せってい (設定) : 1. establishment; creation; posing (a problem); setting (movie, novel, etc.); scene 2. options setting; preference settings; configuration; setup |
| 5 | 受信者 | じゅしんしゃ (受信者) : recipient |
| 5 | 考える | かんがえる (考える) : 1. to think (about, of); to think over; to ponder; to contemplate; to reflect (on); to meditate (on) 2. to consider; to bear in mind; to allow for; to take into consideration |
| 5 | 複数 | ふくすう (複数) : plural; multiple; several |
| 4 | 検知 | けんち (検知) : detection |
| 4 | 応答 | おうとう (応答) : reply; answer; response |
| 4 | 回避 | かいひ (回避) : evasion; avoidance |
| 3 | 情報共有 | じょうほうきょうゆう (情報共有) : information sharing |
| 3 | 対策 | たいさく (対策) : measure; step; countermeasure; counterplan; countermove; strategy; preparation (e.g. for a test) |
| 3 | 参加 | さんか (参加) : participation; joining; entry; adherence |
| 3 | 組織 | そしき (組織) : 1. organization; organisation; formation 2. structure; construction; setup; constitution |
| 3 | 悪用 | あくよう (悪用) : abuse; misuse; perversion |
| 3 | 脆弱性 | ぜいじゃくせい (脆弱性) : vulnerability; weakness; fragility |
| 3 | 不審 | ふしん (不審) : incomplete understanding; doubt; question; distrust; suspicion; strangeness; infidelity |
| 3 | 要求 | ようきゅう (要求) : demand; firm request; requisition; requirement; desire |
| 3 | 送信 | そうしん (送信) : transmission; sending |
| 3 | 目的 | もくてき (目的) : purpose; goal; aim; objective; intention |
| 3 | 認証 | にんしょう (認証) : 1. certification; attestation; authentication; confirmation 2. Imperial attestation |
| 3 | 大量 | たいりょう (大量) : large quantity; massive (quantity); mass (e.g. mass production, mass transit, mass destruction) |
| 2 | 提供 | ていきょう (提供) : 1. offer; tender; providing; supplying; making available; donating (blood, organs, etc.) 2. sponsoring (a TV program) |
| 2 | 件数 | けんすう (件数) : number of events (e.g. accidents, crimes, meetings, housing starts, hits on a web page) |
| 2 | すり抜ける | すりぬける (すり抜ける) : to slip through; to make one's way through quickly |
| 2 | 確認 | かくにん (確認) : confirmation; verification; validation; review; check; affirmation; identification |
| 2 | 済み | ずみ (済み) : arranged; taken care of; settled; completed; finished |
| 2 | 事例 | じれい (事例) : example; precedent; case |
| 2 | 試みる | こころみる (試みる) : to try; to attempt; to have a go (at something) |
| 2 | 使う | つかう (使う) : 1. to use (a thing, method, etc.); to make use of; to put to use 2. to use (a person, animal, puppet, etc.); to employ; to handle; to manage; to manipulate |
| 2 | 本文 | ほんぶん (本文) : 1. text (of a book, document, etc.); body (of a letter) 2. this passage; this sentence |
| 2 | 挿入 | そうにゅう (挿入) : insertion; incorporation; infixing |
| 2 | 通常 | つうじょう (通常) : usual; ordinary; normal; regular; general; common |
| 2 | やり取り | やりとり (やり取り) : giving and taking; exchange (of letters); arguing back and forth; (conversational) exchange |
| 2 | 誤認 | ごにん (誤認) : misrecognition; mistaking (x for y) |
| 2 | 空白 | くうはく (空白) : 1. blank space (in documents) 2. vacuum; blank; void |
| 2 | 見せかける | みせかける (見せかける) : to pretend; to feign |
| 2 | 内容 | ないよう (内容) : contents; content; substance; matter; detail; import |
| 2 | さらに | さらに (更に) : furthermore; again; after all; more and more; moreover; even more |
| 2 | 正規 | せいき (正規) : regular; normal; formal; legal; established; legitimate |
| 2 | 企図 | きと (企図) : plan; project; scheme |
| 2 | 表示 | ひょうじ (表示) : 1. indication; expression; showing; manifestation; demonstration 2. display; displaying |
| 1 | 独立行政法人 | どくりつぎょうせいほうじん (独立行政法人) : independent administrative corporation (institution, agency) |
| 1 | 情報処理推進機構 | じょうほうしょりすいしんきこう (情報処理推進機構) : Information-technology Promotion Agency (organization) |
| 1 | おく | おく (奥) : inner part; inside; interior; depths (e.g. of a forest); back (of a house, drawer, etc.); bottom (e.g. of one's heart); recesses; heart |
| 1 | 発表 | はっぴょう (発表) : announcement; publication; presenting; statement; communique; making known; breaking (news story); expressing (one's opinion); releasing; unveiling |
| 1 | 重要 | じゅうよう (重要) : important; momentous; essential; principal; major |
| 1 | 機器 | きき (機器) : device; equipment; machinery; apparatus |
| 1 | 製造業 | せいぞうぎょう (製造業) : manufacturing industry |
| 1 | 中心 | ちゅうしん (中心) : 1. center; centre; middle; heart; core; focus; pivot; emphasis; balance 2. -centered; -centred; -focused; -oriented; centered on; focused on |
| 1 | 行う | おこなう (行う) : to perform; to do; to conduct oneself; to carry out |
| 1 | 高度 | こうど (高度) : 1. altitude; height; elevation 2. high-degree; high-grade; advanced; sophisticated; strong |
| 1 | サイバー攻撃 | サイバーこうげき (サイバー攻撃) : cyberattack; cyber attack; cyber-attack; hacking attack |
| 1 | つなげる | つなげる (繋げる) : 1. to connect 2. to tie; to fasten |
| 1 | 取り組み | とりくみ (取り組み) : 1. bout (in sports, etc.); match 2. effort; initiative; dealing with; grappling with; wrestling with |
| 1 | 画像 | がぞう (画像) : image; picture; portrait |
| 1 | 全 | ぜん (全) : 1. all; whole; entire; complete; total; pan- 2. complete (set); in total |
| 1 | 標的 | ひょうてき (標的) : target |
| 1 | 型 | かた (型) : 1. model; type (e.g. of machine, goods, etc.) 2. type; style; pattern |
| 1 | みなす | みなす (見なす) : to consider as; to regard (as equivalent); to deem (as); to equate |
| 1 | 実施 | じっし (実施) : enforcement; implementation; putting into practice; carrying out; operation; working (e.g. working parameters); enactment |
| 1 | ネットワーク機器 | ネットワークきき (ネットワーク機器) : network device |
| 1 | 対する | たいする (対する) : 1. to face (each other); to be facing 2. to be directed toward (the future, etc.); to be in response to; to be related to |
| 1 | 外部 | がいぶ (外部) : 1. outside (e.g. of a building); exterior 2. outside (of a group, company, etc.); outside world |
| 1 | 遮断 | しゃだん (遮断) : isolation; cut off; blockade; quarantine; interception; deprivation |
| 1 | 方法 | ほうほう (方法) : method; process; manner; way; means; technique |
| 1 | 自社 | じしゃ (自社) : 1. one's company; company one works for 2. in-house; belonging to the company |
| 1 | 類似 | るいじ (類似) : resemblance; similarity; likeness; analogy |
| 1 | 第 | だい (第) : prefix for forming ordinal numbers |
| 1 | 取得 | とりえ (取り柄) : worth; merit; value; good point; redeeming feature; saving grace |
| 1 | 発見 | はっけん (発見) : discovery; detection; finding |
| 1 | 機能 | きのう (機能) : function; facility; faculty; feature |
| 1 | 受信 | じゅしん (受信) : receiving (a message, letter, email, etc.); reception (radio, TV, etc.) |
| 1 | 削除 | さくじょ (削除) : deletion; elimination; erasure; striking out |
| 1 | 常 | とこ (常) : constant; unchanging; eternal |
| 1 | 気づく | きづく (気づく) : to notice; to recognize; to recognise; to become aware of; to perceive; to realize; to realise |
| 1 | 不明 | ふめい (不明) : 1. unclear; obscure; indistinct; uncertain; ambiguous 2. unknown; unidentified |
| 1 | 宛先 | あてさき (宛先) : address; destination |
| 1 | 実在 | じつざい (実在) : actual existence; real existence; existing in real life |
| 1 | 所有者 | しょゆうしゃ (所有者) : owner |
| 1 | 実際 | じっさい (実際) : 1. reality; actuality; truth; fact; actual conditions 2. practice (as opposed to theory) |
| 1 | 環境 | かんきょう (環境) : environment; circumstance |
| 1 | 等 | など (等) : 1. et cetera; etc.; and the like; and so forth 2. or something |
| 1 | 収集 | しゅうしゅう (収集) : 1. collecting; accumulating; gathering 2. collection (of art, stamps, insects, etc.) |
| 1 | 可能性 | かのうせい (可能性) : potentiality; likelihood; possibility; availability |
| 1 | 業務上 | ぎょうむじょう (業務上) : job-related; in the course of one's work |
| 1 | 除く | のぞく (除く) : 1. to remove; to eliminate; to eradicate 2. to exclude; to except |
| 1 | 自動 | じどう (自動) : 1. automatic 2. intransitive verb |
| 1 | 選択 | せんたく (選択) : selection; choice; option |
| 1 | 勧める | すすめる (勧める) : 1. to recommend (someone to do); to advise; to encourage; to urge 2. to recommend (a book, someone for a position, etc.); to suggest |
| 1 | 巧妙 | こうみょう (巧妙) : ingenious; skillful; clever; deft |
| 1 | 組み合わす | くみあわす (組み合す) : to combine; to join together; to join up; to dovetail together |
| 1 | Microsoft | マイクロソフト : Microsoft |
| 1 | 詐取 | さしゅ (詐取) : defrauding; swindle |
| 1 | 従業員 | じゅうぎょういん (従業員) : employee; worker |
| 1 | 届く | とどく (届く) : 1. to reach; to touch; to get to; to carry (of sound) 2. to be delivered; to arrive |
| 1 | 調査 | ちょうさ (調査) : investigation; examination; inquiry; enquiry; survey |
| 1 | 特徴的 | とくちょうてき (特徴的) : characteristic |
| 1 | 空行 | くうぎょう (空行) : blank line |
| 1 | 経由 | けいゆ (経由) : going through; going via; going by way of |
| 1 | 通知 | つうち (通知) : notice; notification; report; posting |
| 1 | 装う | よそおう (装う) : 1. to dress (oneself in); to attire oneself in; to adorn; to decorate 2. to pretend; to feign; to affect; to disguise oneself as |
| 1 | 本日 | ほんじつ (本日) : today; this day |
| 1 | 有効期限 | ゆうこうきげん (有効期限) : term of validity; expiration date (of medicine, credit card, etc.) |
| 1 | 対応 | たいおう (対応) : 1. correspondence (to); equivalence 2. suitability; coordination; matching; being appropriate (for) |
| 1 | 手続き | てつづき (手続き) : procedure; process; proceedings; formalities |
| 1 | 誘導 | ゆうどう (誘導) : guidance; leading; induction; introduction; incitement; inducement |
| 1 | その後 | そのあと (その後) : after that; afterwards; thereafter |
| 1 | 一般的 | いっぱんてき (一般的) : general; popular; common; typical |
| 1 | 返信 | へんしん (返信) : reply (e.g. email, fax, letter); answer |
| 1 | 記載 | きさい (記載) : mention (in a document); record; entry; statement; listing |
| 1 | 後半 | こうはん (後半) : second half; latter half |
| 1 | 無関係 | むかんけい (無関係) : unrelated |
| 1 | 構成 | こうせい (構成) : composition; construction; formation; makeup; structure; organization; organisation |
| 1 | 隠す | かくす (隠す) : to hide; to conceal |
| 1 | 際 | きわ (際) : 1. edge; brink; verge; side 2. time; moment of |
| 1 | 最終的 | さいしゅうてき (最終的) : final; eventual; ultimate |
| 1 | 画面 | がめん (画面) : 1. screen (of a TV, computer, etc.) 2. image (on a screen); picture; scene |
| 1 | 悪性 | あくしょう (悪性) : evil nature; licentiousness; lewdness |
| 1 | 増える | ふえる (増える) : to increase; to multiply |
| 1 | 技術的 | ぎじゅつてき (技術的) : technical; practical |
| 1 | 訓練 | くんれん (訓練) : training; drill; practice; discipline |
| 1 | 注意喚起 | ちゅういかんき (注意喚起) : call for attention; alert; heads-up; reminder |
| 1 | 報告 | ほうこく (報告) : report; information |
| 1 | 導入 | どうにゅう (導入) : introduction; bringing in; leading in; installation |
| 1 | 人的 | じんてき (人的) : human; personal |
| 1 | 双方 | そうほう (双方) : both parties; both sides |
| 1 | 組み合わせる | くみあわせる (組み合わせる) : to join together; to combine; to join up |
| 1 | 望ましい | のぞましい (望ましい) : desirable; hoped for; preferable; advisable |