2025年、サイバー犯罪者は従来の防御を回避するだけでなく、それを武器に変えようとしている。
Googleのような信頼できるサービスを悪用し、最もセキュリティ意識の高い受信トレイでさえもすり抜けるフィッシング攻撃が新たな波となっている。これらのメッセージはSPF、DKIM、DMARCのチェックを通過することが多い。正当なドメインから発信されている。Google Workspaceでは、緑色のチェックマークが表示されます。しかし、それらは悪意のあるものなのです。
問題とは?電子メール認証は行動を検査しない。
| セキュリティ層 | カテゴリー | 目的 | 保護するもの |
|---|---|---|---|
| SPF(送信者ポリシーフレームワーク) | 認証 | 送信サーバーIPの検証 | 送信サーバーのなりすましを防止 |
| DKIM(ドメインキー識別メール) | 認証 | メッセージの完全性の確保 | 改ざんからメッセージを保護 |
| DMARC(ポリシー実施) | 認証 | SPF/DKIMを可視送信者に合わせる | From: ドメインの不正使用を防ぐ |
| ブランド偽装防止 | ゼロ・トラスト/コンテンツ・トラスト | ドメインだけでなくブランドのなりすましを検知 | 欺瞞的なデザインで視覚的なフィッシングを防ぐ |
| URLとページ分析 | 信頼ゼロ/行動 | 埋め込みリンクとランディングページを分析 | フィッシングやクレデンシャル・トラップを検知 |
| Sandbox &ビヘイビアエミュレーションMetaDefender Sandbox | 信頼ゼロ/行動 | リンク、ファイル、フォームの動的挙動の観察 | 信頼できるドメインであっても、意図的なマルウェアやIOCを検出します。 |
企業のセキュリティ・チームは、信頼ベースのシグナル以上のものを必要としている。必要なのは行動ベースの検知だ。そこで OPSWAT MetaDefender Sandboxの出番です。
署名、封印、そして危殆化:DKIMリプレイの抜け穴
新たな手口のひとつに、DKIMリプレイ攻撃がある。これは、攻撃者が正規に署名された電子メールのヘッダーを再利用し、署名された部分以外に悪意のあるコンテンツを追加するものである。
仕組みはこうだ:
- DKIMは署名を使って、メッセージの一部が改ざんされていないことを検証する。
- しかし、l=タグ(長さ)が使われると、メッセージの一部だけが署名される。
- 攻撃者は、DKIMチェックを完全に無傷のまま、署名された部分の後に悪意のあるコンテンツを挿入することができる。
- DMARCは、送信元を検証するためにSPFまたはDKIMに依存するため、パスする。
その結果は?完璧に認証されたメッセージがフィッシング・コンテンツを配信する。
OAuthフィッシングの悪用:Googleアラートの内部から信頼を乗っ取る
もう1つの憂慮すべき傾向は、グーグルのOAuthインフラの悪用である。
アタッカーは
- "Googleセキュリティアップデート "や "アカウントレビューが必要 "といった偽のOAuthアプリを作成する。
- これらのアプリについてユーザーに通知するGoogle署名入りのセキュリティアラートの送信
- Googleの合法的な無返信ドメインに裏打ちされたフィッシング・リンクをアラートに埋め込む。
このフィッシング詐欺の手口は、Googleブランドのフォーマットで表示され、スレッドアラートとドメインレピュテーションを使ってユーザーを不安にさせる。なりすましではなく、グーグルがホストしているのだ。
緑のチェックマークだけでは不十分
これは誤った安心感だ。SPF、DKIM、DMARCをパスしたメッセージは、まだ残っているかもしれない:
- クレデンシャル・ハーベスティング・ページを含む
- UIトリックを使ってログイン・フィールドを隠す
- 空白を悪用して悪意のあるペイロードを遅延させる
- 正規のインフラ(例:sites.google.com)上で偽のマイクロソフトやグーグルのログインページをホストする。
電子メール認証は、メッセージがどこから来たかを検証するだけで、何をしているかを検証するものではない。
MetaDefender Sandbox:電子メールの振る舞いに対する重要な防御層
OPSWAT MetaDefender Sandbox、重要な可視性を追加します。署名や送信者認証に依存するのではなく、サンドボックスは電子メールの動作をエミュレートします:
- ダイナミック・リンク・インスペクション- 安全な環境で埋め込まれたリンクを追跡し、ページの動作をリアルタイムで評価します。
- UIおよびレイアウト分析- 偽のログイン画面、隠しフィールド、クレデンシャル・トラップを特定します。
- フィッシングフロー検出- リダイレクト、フォーム送信、攻撃者が制御するエンドポイントを検出します。
MetaDefender Sandbox デフォルトで電子メールを信用しないため、認証ベースのソリューションが見逃しているものを検出します。署名され、認証され、"グリーンチェック "されたメールでさえも武器になり得ます。MetaDefender 本当の意図を暴きます。
企業が今なすべきこと
フィッシングは進化している。あなたの防御も進化しなければなりません。先手を打つ方法がここにある:
- Email Security採用 -ヘッダーやメタデータだけに頼らない。メールの内容や 動作を検査する。
- 行動ベースのサンドボックスの追加 -リンク、フォーム、ペイロードの動的分析により、検出スタックを強化します。
- Secure アラートメールとシステムメール -OAuthとドメインの不正使用により、アラートメールでさえも潜在的な脅威のベクトルとなっている。
認証だけでは見えないものを検査する
どのように OPSWAT MetaDefender SandboxGoogleアラートのような「信頼できる」ソースからでも高度なフィッシングを検出します。今すぐエキスパートに相談し、メールセキュリティ戦略の最前線に私たちの高度なサンドボックスをどのように置くことができるかをご覧ください。
