📨

MITRE ATT&CK T1566 Phishingと関連情報

2021/06/12に公開

MITRE ATT&CK「14の戦術」の中で「初期アクセス(Initial Access)」に分類されるテクニック「T1566 Phishing」とその関連情報を取り上げる。
Phishing, Technique T1566 - Enterprise | MITRE ATT&CK®

T1566 Phishingの定義

「Phishing」「フィッシング」はニュースなどでもよく報じられているので馴染みのある言葉だろう。標的にメールを送り付ける手法がよく知られている「ソーシャルエンジニアリング」の一種である。振込詐欺的な被害をもたらすようなものもあれば、マルウェアに感染させるための初期手段であったり、様々な攻撃に繋がっていく。

MITRE ATT&CKでのT1566 Phishingの定義を日本語訳する。おおむね、「フィッシング」に対して持っているイメージと乖離は無いと思われる。

攻撃者はフィッシングメッセージを送信し、機密情報の取得や、被害者のシステムにアクセスするなどの可能性がある。すべての形式のフィッシング攻撃は、電子的に配信されるソーシャルエンジニアリングである。スピアフィッシングとして知らるフィッシング攻撃は、標的を定めて行われる。スピアフィッシングでは、特定の個人、企業や業界が攻撃者の標的となる。より一般的には、攻撃者は、大量のマルウェアスパムキャンペーンなどで、標的を限定しないフィッシング攻撃を実行できる。

攻撃者は、悪意のある添付ファイルやリンクを含む電子メールを被害者に送信し、被害者のシステム上で悪意のあるコードを実行したり、有効なアカウントを使用するための認証情報を収集したりする。フィッシングは、ソーシャルメディアプラットフォームなどのサードパーティが提供するサービスを介して実行される場合もある。

T1566 Phishingのサブテクニック

T1566 Phishingにはサブテクニックが3つ存在する。サブテクニックは「Phishing」ではなく「Spearphising」の名前が冠されており、要するに標的型攻撃である。

各ページでの説明を2,3点程度にまとめてみる。

T1566.001 SpearPhishing Attachment

添付ファイルによるスピアフィッシング。

  • メールでファイルを送付し、受信したユーザが実行することを期待する。ファイルを開く必要があることをメールの本文で説明する傾向にある。また、ファイルを実行させるにあたり、クライアントのシステム保護の回避方法を説明している場合もある。
  • ファイルにはMicrosoft Office製品、実行形式ファイル、PDFが多く用いられる。
  • メール受信時の防御機構を回避するため、パスワード付きの圧縮ファイルを用いたり、別の形式に見せかけるために拡張子やアイコンを偽装することもある。

リンクによるスピアフィッシング。

  • メール本文にリンクを載せ、受信したユーザがアクセスすることを期待する。リンク先にアクセスする必要があることをメールの本文で説明する傾向にある。
  • T1566.001の手法は、添付ファイルがメールサービスのチェック機構で検知される可能性があるが、リンクであれば、それを回避することが期待できる。

T1566.003 Spearphishing via Service

メールではなく、サードパーティのサービスを利用するスピアフィッシング。ここでの「メール」とは、「会社が管理しているメール」を指している。

  • SMSや個人のWebメール、その他企業が管理していないサービスを介してメッセージを送信する。これらは一般的に、会社のメールに比べてセキュリティポリシーが厳しくない傾向にある。
  • 一般的な例として、ソーシャルメディアを介してターゲットと信頼関係を構築し、ターゲットが業務用PCで使用する個人のWebメールにコンテンツを送信する方法がある。

一番最後は、「業務用PCで個人のWebメールにアクセスすることなんてあるのか?」と個人的には疑問に感じたが、そういったことが許されている組織もあるのかもしれない。

フィッシングなんて引っかからないでしょ?

そんなものに騙されないという意見もあろうが、攻撃者はあの手この手で回避しようとしてくる。まとまりは無いが、いくつかの方法や関連すると思われる情報を以下で取り上げる。

フィッシングメールかどうかぐらい見分けられない?

どうみても日本語がおかしいメールや、会員登録や契約もしていないカード会社や銀行を装ったメールが届いた経験のある人も多いと思われる。アレなら見分けられるかもしれないが、攻撃者がいつまでもそんな状態のわけがない。

巧妙なビジネスメール詐欺の事例

本気で狙われると見分けられないのだろう。ビジネスメール詐欺(BEC)による事件がいくつも発生しているのがその好例である。メール単体ではなく、そのほかの手法も用いて信じ込ませる場合もある。

取引先を装った振込口座変更依頼のメールにより数億円の被害が生じた事例も起きている。
日本航空が被害を受けたビジネスメール詐欺をまとめてみた - piyolog

怪しいファイルかどうかぐらい見分けられない?

フィッシングメールが届いてしまったとしても、ファイルを開かなければ「T1566.001 SpearPhishing Attachment」は成立しない。では、怪しいファイルかどうかは見分けられるのだろうか。

アイコンの偽装

実行ファイルのビルド時にアイコンは自由に設定可能である。既存ファイルのアイコンを変更するツールも無数に存在し、アイコンに意味は無い。txtファイルのアイコンであれば、実行ファイルには見えないだろう。

拡張子の偽装

アラビア語など、右から左へ読む言語のためにRight-to-Left Override(RLO)という制御コードがある。文字コードはU+202Eで、これ以降の表記の左右が反転する。
例として、phishing●txt.exeの位置にRLOを入れると、見かけ上のファイル名はphishingexe.txtとなる。

自己解凍型exeファイルへの慣れ

企業間で安全にファイルをやり取りすることを目的としたソリューションでexe形式を採用している事例もある。普段から添付ファイルにexe形式を使っているのだから、実行するのに何の躊躇も抵抗もない。

2015年と少し古いが、Twitterで話題となった際のまとめを紹介する。
日立ソリューションズ『秘文 File Encryption』と自己解凍型exeファイルに対する反応 - Togetter

筆者の過去所属していた会社でも同様の某ソリューションを導入していて、そのくせ自社のメール送信基盤はexe形式の送受信を禁止している背景から、拡張子を.ex_に自ら偽装する必要があった。添付ファイル付きメールを送るたびに、「メール送信の制約により、拡張子.exeでの送付ができません。お手数をおかけしますが、.ex_を.exeに変更してから実行してください。」と本文に書いていたのが懐かしい。あれから数年経っているので、今は変わっているものと信じている。

怪しいURLかどうかぐらい見分けられない?

フィッシングメールが届いてしまったとしても、リンクを踏まなければ、また、踏んだ先でファイルをダウンロードや何らかの入力をしてもらえなければ、「T1566.002 SpearPhishing Link」の目的の多くは完了しない。では、怪しいURLかどうかは見分けられるのだろうか。

ホモグラフ攻撃

空いていさえすれば誰でも好きなドメインを使用できる。似た文字を使用することで正しいURLにように見せかける手法が存在する。例えば以下のように。

  • apple
  • appIe
  • microsoft
  • rnicrosoft

使用されているフォントにより小文字のエルlと大文字のアイIの見分けは容易につくかもしれないが、ブラウザのアドレスバーだとどうだろうか。

IDNホモグラフ攻撃

一時期「日本語ドメイン名」が声高に宣伝されていたことがあったように思う。国際化ドメイン名(IDN)の開始により、いまやドメインに使用できるのはASCII文字だけではない。紛らわしい文字として、以下のようなものが実際に使用できる。

  • а - キリル文字のa
  • œ - フランス語で使うOとEの合字
  • ij - オランダ語で使う二重音字

違和感なく、英字のアルファベットのように見えると思われる。このような文字は非常に多く存在する。Unicode Consortiumが興味深い一覧を公開しているので紹介する。
Recommended confusable mapping for IDN Version.8.0.0 - Unicode Consortium

似たドメイン名

ホモグラフ攻撃のような手法を使うまでもなく、似たドメイン名はいくらでも作ることができる。既存の社名やサービス名に「-mypage」とか「-event」とかくっつければ、それらしいドメインになるだろう。また、「正規のFQDN.example.com」のように、すでに所有しているドメイン(ここではexample.com)のサブドメイン部分に他者のFQDNやサービス名を入れることも自由にできる。

2012年ごろより申請が始まった新gTLDにより、Top Level Domainも非常に増えている。.news.clubといったgTLDもあるため、既存の社名やサービス名にこれらをくっつければ、正規サービスのニュースサイトや会員向けサイトのように見えると思われる。
Delegated Strings | ICANN New gTLDs

短縮URL

SNSをはじめ、短縮URLの利用シーンは広がっている。短縮URLがフィッシング攻撃に使われているというニュースがあったので紹介する。
【セキュリティ ニュース】フィッシング報告、URLともに3カ月連続で増加 - 偽Appleは短縮URLを愛用(1ページ目 / 全1ページ):Security NEXT

怪しいサイトかどうかぐらい見分けられない?

ブラウザ上の表示は、HTML、JavaScript、CSSさえあれば同じように見せかけることが可能。見かけでの判断はできない。

HTTrackというツールを悪用してサイトを複製したとされる事例を紹介する。
国内金融機関利用者を狙うフィッシング詐欺をJC3と共同調査 | トレンドマイクロ セキュリティブログ

ブラウザの拡張機能を悪用してサイトを複製したとされる事例を紹介する。
正規ブラウザ拡張機能を利用するフィッシング攻撃を確認 | トレンドマイクロ セキュリティブログ

おわりに

MTTRE ATT&CKより「T1566 Phishing」の定義とそのサブテクニックを取り上げた。また、様々な手法によりフィッシングを見分けることは容易ではないことを紹介した。紹介しきれていない手法はもちろん無数に存在するし、一方でそれらの一部に対応できるソリューションも提供されているだろう。

「T1566 Phishing」は「初期アクセス」の分類であり、その後の具体的な攻撃手法は含まれない。詐欺やマルウェア感染のイメージが強いが、Google OAuthトークンを奪取する興味深い事例があったので、最後に紹介しておく。
Pawn Storm Abuses OAuth In Social Engineering Attacks

Discussion