PDFを使った新しいメールキャンペーンが発見される
IBMによると、Eメールセキュリティは、データ侵害の最初の攻撃経路として依然として第1位であるため、最優先されるべきである。にもかかわらず、洗練された電子メール攻撃は、今年の全侵害の82%に関与している人的要因を悪用して、効果的に犠牲者を出し続けている。残念なことに、先月もPDFの添付ファイルを使ったマルウェア配布キャンペーンが確認されており、ハッカーはマルウェアを被害者のデバイスに密輸する新たな方法を見つけている。
攻撃がどのように行われたかを振り返ってみよう。
HP Wolf Securityが発見したこの新たなサイバー犯罪キャンペーンは、ユーザーの不確実な行動を利用し、脆弱なエンドポイントにPDFファイルによってSnake Keyloggerを配布するものでした。
脅迫者はまず、「送金請求書」という件名の電子メールを送り、被害者に何かの代金が支払われると思い込ませていた。PDFを開くと、Adobe Readerはユーザーに埋め込み文書(DOCXファイル)を開くよう促します。この埋め込み文書には「has been verified(確認済み)」という名前が付けられているため、疑わしいと思われるかもしれませんが、被害者にとってはむしろ紛らわしいものです。このため被害者は、PDFリーダーがファイルをスキャンし、使用できる状態になったと勘違いする。
Wordファイルにはマクロが含まれている可能性が高く、このマクロを有効にすると、リッチテキストファイル(RTF)がリモートロケーションからダウンロードされ、実行されます。その後、このファイルはSnake Keyloggerマルウェアをダウンロードしようとします。
攻撃が成功するためには、ターゲットとなるエンドポイントに所定の欠陥に対する脆弱性が残っている必要がある。しかし今回、攻撃者は悪意のあるコードを送信するのではなく、被害者を騙してダウンロードさせ、検知ベースのゲートウェイ防御を回避した。
サイバーセキュリティ・コミュニティは、セキュリティ侵害の多くは回避可能だったと考えている。例えば、今回の欠陥は2017年に確認されたもので、すべてのデバイス管理者がOSを最新の状態に保っていれば、最近の一連の攻撃は防げたはずだ。
ベライゾンのDBIRによると、企業情報への主な経路は、クレデンシャル、フィッシング、脆弱性の悪用、ボットネットの4つである。このうち1つでもブロックできないと、ネットワーク侵入につながる可能性がある。今回のケースでは、攻撃者は2つの要素を使って攻撃を仕掛けていました。それは、疑心暗鬼になっているユーザーを欺くために、巧妙に仕組まれたフィッシング詐欺メールと、悪意のあるファイルをインストールするために悪用された脆弱性です。
一般的な保護対策
この新しいサイバー犯罪キャンペーンは、電子メールを使用してPDFファイルを介して脆弱なエンドポイントにSnake Keyloggerを配布したため、以下の理由により、セキュリティのベストプラクティスが正しく機能しなかったでしょう:
- 脆弱性に対するエクスプロイトは数日で出現するが、組織がパッチを当てるには数週間から数カ月かかる。
- 従来の電子メールセキュリティソリューションでは、ゼロデイ攻撃を検出するアンチウイルスシグネチャが存在しないため、ゼロデイ攻撃を防ぐのに苦労していました。
- Sandbox ソリューションは、高度な脅威検知のための一つのアプローチとして台頭してきたが、配信前に処理時間が追加されるため、電子メールには適していない。
- 生産性に悪影響を及ぼすだけでなく、特定の電子メールセキュリティ脅威はサンドボックスの検出を回避することができる。今回のケースでは、この2つの方法が適用された:
- アクション遅延実行
- トロイの木馬とマクロ
ハッカーがサンドボックス環境でマルウェアが実行されないことを確認したい場合、もう一つの一般的なアプローチは、エンドユーザーのインタラクションを待つことである。マウスをクリックする、キーボードをタイプする、特定のアプリケーションを開くなど、選択肢は無限にある。攻撃者にとって重要なことは、サンドボックス・ソリューションはこのようなアクションを考慮できないということです。このようなユーザーアクションがなければ、サンドボックス・ソリューションはこのような攻撃を検知できない。
トロイの木馬ファイルは、古代ギリシャと同じくらい古いものであるため、アンチウイルスやサンドボックス・ソリューションは、かなりの種類のトロイの木馬ファイルを検出することができます。検出ベースのソリューションは、マルウェアがマクロ対応のMicrosoft Office文書に隠されると失敗する傾向がある。攻撃者にとってのマクロベースの攻撃の唯一の欠点は、エンドユーザーがマクロを有効にする必要があるため、ソーシャル・エンジニアリング攻撃を伴うことが多いことです。
ゼロ・トラスト哲学
組織は、すべてのメールと添付ファイルが悪意のあるものであると想定する必要があります。Word 文書や PDF などの一般的な生産性ファイルは、マルウェアやゼロデイ攻撃に感染している可能性がありますが、メールや Word 文書へのアクセスをブロックすることは現実的ではありません。ウイルス対策およびサンドボックス ソリューションは、高度な攻撃を検出する能力に限界があります。上記の攻撃で確認されたように、検出ベースの保護のみを使用するのは、根本的に間違ったアプローチです。代わりに、組織は、すべてのファイルを悪意のあるファイルとして扱い、リアルタイムでクリーンアップするプロアクティブなソリューションを備えたゼロ トラスト セキュリティ アプローチを採用する必要があります。このようにサニタイズされた添付ファイルは、ビジネスの生産性を妨げずにすぐにユーザーに配信されると同時に、バックグラウンドでさらに検出ベースの(または動的な)分析を行う時間を確保します。分析が成功すれば、元のファイルをユーザーに送信することもできます。
MetaDefender Email Securityはそのようなソリューションです。潜在的に悪意のあるコンテンツをすべて削除し、クリーンなファイルとして再構築することで、添付ファイル、メール本文、ヘッダーを解除する包括的なアプローチを提供します。したがって、これらのファイルは完全に使用可能で安全であり、上記の攻撃から安全でないユーザーを十分に保護します。
OPSWAT は、検知の必要なく、エクスプロイトや武器化されたコンテンツから組織を保護します。また、サンドボックスによる検出よりも30倍高速です!
高度な脅威から組織を守るためにメールセキュリティのギャップを埋める方法について詳しくお知りになりたい場合は、無料のホワイトペーパー「Email Security and Critical Infrastructure Protection(重要インフラ保護のためのベストプラクティス)」をダウンロードするか、このトピックに関するその他のブログをこちらでお読みください。
