2025年、サイバー犯罪者は従来の防御を回避するだけでなく、それを武器に変えようとしている。
Googleのような信頼できるサービスを悪用し、最もセキュリティ意識の高い受信トレイでさえもすり抜けるフィッシング攻撃が新たな波となっている。これらのメッセージはSPF、DKIM、DMARCのチェックを通過することが多い。正当なドメインから発信されている。Google Workspaceでは、緑色のチェックマークが表示されます。しかし、それらは悪意のあるものなのです。
問題とは?電子メール認証は行動を検査しない。
| セキュリティ層 | カテゴリー | 目的 | 保護するもの |
|---|---|---|---|
| SPF(送信者ポリシーフレームワーク) | 認証 | 送信サーバーIPの検証 | 送信サーバーのなりすましを防止 |
| DKIM(ドメインキー識別メール) | 認証 | メッセージの完全性の確保 | 改ざんからメッセージを保護 |
| DMARC(ポリシー実施) | 認証 | SPF/DKIMを可視送信者に合わせる | From: ドメインの不正使用を防ぐ |
| ブランド偽装防止 | ゼロ・トラスト/コンテンツ・トラスト | ドメインだけでなくブランドのなりすましを検知 | 欺瞞的なデザインで視覚的なフィッシングを防ぐ |
| URLとページ分析 | 信頼ゼロ/行動 | 埋め込みリンクとランディングページを分析 | フィッシングやクレデンシャル・トラップを検知 |
| Sandbox 動作エミュレーション(MetaDefender ) | 信頼ゼロ/行動 | リンク、ファイル、フォームの動的挙動の観察 | 信頼できるドメインであっても、意図的なマルウェアやIOCを検出します。 |
企業セキュリティチームが対応するには、信頼ベースのシグナルだけでは不十分です。行動ベースの検知が必要です。そこでOPSWAT MetaDefender 。
署名、封印、そして危殆化:DKIMリプレイの抜け穴
新たな手口のひとつに、DKIMリプレイ攻撃がある。これは、攻撃者が正規に署名された電子メールのヘッダーを再利用し、署名された部分以外に悪意のあるコンテンツを追加するものである。
仕組みはこうだ:
- DKIMは署名を使って、メッセージの一部が改ざんされていないことを検証する。
- しかし、l=タグ(長さ)が使われると、メッセージの一部だけが署名される。
- 攻撃者は、DKIMチェックを完全に無傷のまま、署名された部分の後に悪意のあるコンテンツを挿入することができる。
- DMARCは、送信元を検証するためにSPFまたはDKIMに依存するため、パスする。
その結果は?完璧に認証されたメッセージがフィッシング・コンテンツを配信する。
OAuthフィッシングの悪用:Googleアラートの内部から信頼を乗っ取る
もう1つの憂慮すべき傾向は、グーグルのOAuthインフラの悪用である。
アタッカーは
- "Googleセキュリティアップデート "や "アカウントレビューが必要 "といった偽のOAuthアプリを作成する。
- これらのアプリについてユーザーに通知するGoogle署名入りのセキュリティアラートの送信
- Googleの合法的な無返信ドメインに裏打ちされたフィッシング・リンクをアラートに埋め込む。
このフィッシング詐欺の手口は、Googleブランドのフォーマットで表示され、スレッドアラートとドメインレピュテーションを使ってユーザーを不安にさせる。なりすましではなく、グーグルがホストしているのだ。
緑のチェックマークだけでは不十分
これは誤った安心感だ。SPF、DKIM、DMARCをパスしたメッセージは、まだ残っているかもしれない:
- クレデンシャル・ハーベスティング・ページを含む
- UIトリックを使ってログイン・フィールドを隠す
- 空白を悪用して悪意のあるペイロードを遅延させる
- 正規のインフラ(例:sites.google.com)上で偽のマイクロソフトやグーグルのログインページをホストする。
電子メール認証は、メッセージがどこから来たかを検証するだけで、何をしているかを検証するものではない。
MetaDefender :メール行動に対する重要な防御層
OPSWAT MetaDefender 重要な可視性を提供します。署名や送信者検証に依存するのではなく、サンドボックスはメールの動作をエミュレートします:
- ダイナミック・リンク・インスペクション- 安全な環境で埋め込まれたリンクを追跡し、ページの動作をリアルタイムで評価します。
- UIおよびレイアウト分析- 偽のログイン画面、隠しフィールド、クレデンシャル・トラップを特定します。
- フィッシングフロー検出- リダイレクト、フォーム送信、攻撃者が制御するエンドポイントを検出します。
MetaDefender デフォルトでメールを信頼しないため、認証ベースのソリューションが見逃す脅威を検知します。署名済み、認証済み、そして「緑のチェックマーク」が付いたメールでさえも悪用される可能性があります。MetaDefender 真の意図をMetaDefender 。
企業が今なすべきこと
フィッシングは進化している。あなたの防御も進化しなければなりません。先手を打つ方法がここにある:
- Email Security採用 -ヘッダーやメタデータだけに頼らない。メールの内容や 動作を検査する。
- 行動ベースのサンドボックスの追加 -リンク、フォーム、ペイロードの動的分析により、検出スタックを強化します。
- Secure アラートメールとシステムメール -OAuthとドメインの不正使用により、アラートメールでさえも潜在的な脅威のベクトルとなっている。
認証だけでは見えないものを検査する
OPSWAT MetaDefender 、Googleアラートのような「信頼できる」送信元からの高度なフィッシング攻撃をどのように検知するかをご覧ください。今すぐ専門家に相談し、当社の高度なサンドボックスをメールセキュリティ戦略の最前線に配置する方法をご確認ください。
