Unit 42

※本記事は2017年10月5日に米国で掲載されたブログ記事の抄訳版となります。

 

米Palo Alto Networksの脅威インテリジェンスチームUnit 42 は、新たな標的型スピアフィッシングキャンペーンを発見し「FreeMilk」と名付けました。FreeMilkは、組織の経営層、軍や政府の関係者などの価値の高い機密情報にアクセスできる人物や、不利益をもたらすような情報を扱うジャーナリストや政治活動家などを標的にしています。FreeMilkがユニークなのは、これらの標的の近しい人(CEOの秘書や友人・家族など)を経由して攻撃が行われることです。

 

FreeMilkの攻撃手法

多くのフィッシング攻撃は、成功率を高めるために、標的を絞らず広範囲に攻撃を仕掛けています。そのため、一般的な話題に沿ったメールを作成し、電子メールや添付ファイルを開かせるよう仕向けています。

 

本来スピアフィッシングは、その名前が示す通り、攻撃対象者が直接的に関連するテーマに沿ったメールや添付ファイルを送信する、ターゲットを絞った攻撃です。この手法により、送信者の信頼性が高まり、受信者は内容を疑わずにメールや添付ファイルを開いてしまい、結果として攻撃の成功率は高まります。

 

FreeMilkは、さらに先進的な手法を取り、関連性の高いテーマで攻撃するのではなく、進行中の電子メールの会話を乗っ取るスピアフィッシング攻撃です。

 

FreeMilkの攻撃の流れは下記のとおりです。

  • アリス(A)とボブ(B)は、電子メールで会話をしています。
  • 攻撃者のチャーリー(C)は、認証情報の盗難などでアリスのメールアカウントを乗っ取ります。
  • チャーリーはアリスのメールアカウントを利用し、アリスとボブの間で交わされている会話の内容に関連するよう装い、悪意のあるファイルを添付したメールをボブに送ります
  • ボブは電子メールを受信します。アリスからのメールだと思っているので、悪意のある添付ファイルを開けてしまい、攻撃が成功します。

 

図 1 会話の乗っ取りによるマルウェア配信のシステム

 

防御方法

Unit 42は、この攻撃に、すでにパッチが提供されている Microsoft Officeの脆弱性が利用されていることを発見しました。FreeMilkおよび類似の攻撃を防ぐには、システムやデバイスに最新のオペレーティングシステム(OS)のセキュリティパッチを適用する必要があります。

 

また、多くのデバイスやネットワークには、アカウントの乗っ取りを防ぐための、多重のセキュリティ機能が用意されています。たとえば、電子メールの2段階認証を設定をすることで、認証情報の盗難による悪用を防ぎ、FreeMilkのような攻撃を防御することができます。

 

製品概要スペックシート

  • 0
  • 15325

パロアルトネットワークス管理者ガイド日本語版

このガイドで、パロアルトネットワークスのファイアウォールのWeb管理画面の使用方法を説明します。対象は設置、運用管理、メンテナンスを行うシステム管理者向けです。 ※このページで提供する管理者ガイドが最新版でない可能性があります。最新版に関しては、製品をご購入された販売代理店にご相談ください。  

  • 1
  • 10636

PA-800 シリーズ

主なセキュリティ機能: すべてのアプリケーションをすべてのポートで常時識別 • 使用されているポートや暗号化(SSLまたはSSH)、セキュリティの回避技術に関わらず、アプリケーションを識別します。 • 許可、拒否、スケジュール、スキャン、帯域制御の適用などのセキュリティ ポリシー決定の要素として、ポートではなくアプリケーションを使用します。 • 不明なアプリケーションを、ポリシー制御、脅威のフォレンジック、またはApp-ID™アプリケーション識別テクノロジの開発が行えるよう分類します。

  • 1
  • 7613

PA-3000シリーズ スペックシート

PA-3000シリーズの主な機能、パフォーマンスと容量、および仕様。

  • 1
  • 6090

オープンソースソフトウェアを利用した 暗号通貨 「Monero」の大規模なマイニング攻撃キャンペーン

概要 パロアルトネットワークスの脅威インテリジェンスチーム Unit 42 は、大規模な 暗号通貨 のマイニング(採掘)攻撃キャンペーンが、4 ヶ月以上にわたり活発に行われている様子を観測しました。この攻撃では、暗号通貨の1つであるMoneroのマイニングのために、オープンソースの マイニングソフトウェアXMRig ユーティリティが利用されています。

  • 0
  • 1272

PA-5200 シリーズ

パロアルトネットワークス® PA-5200シリーズの次世代ファイアウォール アプライアンスは、PA-5260、PA-5250、PA-5220から構成されており、高速データセンター、インターネット ゲートウェイ、およびサービス プロバイダでの導入に適しています。PA-5200シリーズは、ネットワーキング、セキュリティ、脅威からの防御と管理の重要な機能領域専用の処理機能とメモリを使用して、最大80Gbpsのスループットを提供します。

  • 0
  • 3543