スピアフィッシングの実例
2019 年 7 月 5 日 Emil Hozan 著
オンラインのセキュリティ関連の記事をいくつか読んでいたときに、興味をひかれる記事を見つけました。その記事の文章に興味を持ちましたが、それは、単なる難しい技術的な解説ではなかったからです。もちろん、技術的な説明も何点かありましたが、実際の経験の詳しい説明によって、現実世界でユーザが直面する脅威を身近なものとして知ることができました。セキュリティについてのある程度の知識があるにもかかわらず、このブロガーの視点は、我々セキュリティ担当者でも見過ごしてしまう事実を浮き彫りにしています。
スピアフィッシングは、高度であるものの標的型であるフィッシング攻撃であり、一定の割合で成功します。セキュリティについての知識がある人であっても、標的となれば攻撃が成功し、コンピュータが感染する可能性があります。
今回の記事で紹介された標的(ブログの著者)は、有名大学が主催する賞に審査員として参加して欲しいと依頼する電子メールを受け取りました。本物であることを十分に確認するよう日頃から注意していたにもかかわらず、何らかの理由で、彼はそのメールを疑いませんでした。メールのドメインを見たところ、有名な大学のものでしたが、1つだけ気になったのは、メールの送り主がオンラインで確認できない人物だったことです。誰もがオンラインに何らかの痕跡を残していたり、ソーシャルメディアのアカウントを持っていたりするわけではないため、深く追求しませんでした。ここまでの話を聞くと、私が彼と同じメールを受け取ったとしても、おそらく本物だと信じてしまったと思います。
メールの本文に、その大学の正規の Web サイトでホスティングされているリソースへのリンクが埋め込まれていましたため、彼は、自分のセキュリティチェックリストを順番にたどりながら、リンクの分析を続けました。1 つだけ気になったのは、ディレクトリパスでしたが、Web サイトによってはそのような使い方もされるため、この件についてそれ以上は追求しませんでした。この点についても、私もほとんど同じように考えるでしょう。
そして、リンクをクリックして詳細を読もうとすると、標的に気付かれることなく、そのリンクは、Firefox ブラウザのドライブバイダウンロードが可能にする、ゼロデイエクスプロイトの罠だったのです。幸いにも、彼は Google Chrome を使用していたため、このエクスプロイトの犠牲にはなりませんでしたが、誰もが彼ほど幸運であるとは限りません。
このような状況を回避する手段が果たしてあるのでしょうか? 自分に置き換えて考えてみた場合、セキュリティ上の観点から、信頼できるインターネットブラウザのゼロデイ脆弱性をどのように評価すればよいのでしょうか? 仮想マシン(VM)や同等の何かで受け取ったメールをチェックしない限り、メールに含まれるリンクをクリックした場合の動作をどのように確認できるのでしょうか? あるリンクをクリックすると未知の脆弱性を悪用する不正コードがホスティングされている感染したサーバにアクセスする可能性があることを知るのは、簡単なことではありません。もちろん、VM でメールをチェックすれば、このような状況から自らを保護できますが、ダウンロードしたコードが VM の領域から物理ホストにまで広がる可能性を考えると、電磁波を恐れてアルミホイルの帽子を被るほどの対策が必要です。さらには、受け取ったメールをすべて VM でチェックするというのは、果たして現実的な方法なのでしょうか?
一般的な「ソフトウェアを更新してください」や「ファイアウォールを使ってください」というよくある提案、そして、上記の VM でチェックする方法を除けば、最良の選択肢は、どのようなリンクも開かないことです。これも現実的ではないように見えますが、真実です。ファイアウォールで未知のエクスプロイトが Web ブラウザのドライブバイダウンロードの脆弱性を突く攻撃は防げない可能性が高いです。しかしながら、ダウンロードされたスクリプトが既知のシグネチャであったとすれば、ファイアウォールでブロックされるでしょう。
総合的に考えれば、「多層型セキュリティ」のアプローチで、いくつかのセキュリティサービスを組み合わせて利用することが効果的かつ現実的な方法と言えるでしょう。