※本記事は2017年10月5日に米国で掲載されたブログ記事の抄訳版となります。

 

米Palo Alto Networksの脅威インテリジェンスチームUnit 42 は、新たな標的型スピアフィッシングキャンペーンを発見し「FreeMilk」と名付けました。FreeMilkは、組織の経営層、軍や政府の関係者などの価値の高い機密情報にアクセスできる人物や、不利益をもたらすような情報を扱うジャーナリストや政治活動家などを標的にしています。FreeMilkがユニークなのは、これらの標的の近しい人(CEOの秘書や友人・家族など)を経由して攻撃が行われることです。

 

FreeMilkの攻撃手法

多くのフィッシング攻撃は、成功率を高めるために、標的を絞らず広範囲に攻撃を仕掛けています。そのため、一般的な話題に沿ったメールを作成し、電子メールや添付ファイルを開かせるよう仕向けています。

 

本来スピアフィッシングは、その名前が示す通り、攻撃対象者が直接的に関連するテーマに沿ったメールや添付ファイルを送信する、ターゲットを絞った攻撃です。この手法により、送信者の信頼性が高まり、受信者は内容を疑わずにメールや添付ファイルを開いてしまい、結果として攻撃の成功率は高まります。

 

FreeMilkは、さらに先進的な手法を取り、関連性の高いテーマで攻撃するのではなく、進行中の電子メールの会話を乗っ取るスピアフィッシング攻撃です。

 

FreeMilkの攻撃の流れは下記のとおりです。

  • アリス(A)とボブ(B)は、電子メールで会話をしています。
  • 攻撃者のチャーリー(C)は、認証情報の盗難などでアリスのメールアカウントを乗っ取ります。
  • チャーリーはアリスのメールアカウントを利用し、アリスとボブの間で交わされている会話の内容に関連するよう装い、悪意のあるファイルを添付したメールをボブに送ります
  • ボブは電子メールを受信します。アリスからのメールだと思っているので、悪意のある添付ファイルを開けてしまい、攻撃が成功します。

 

図 1 会話の乗っ取りによるマルウェア配信のシステム

 

防御方法

Unit 42は、この攻撃に、すでにパッチが提供されている Microsoft Officeの脆弱性が利用されていることを発見しました。FreeMilkおよび類似の攻撃を防ぐには、システムやデバイスに最新のオペレーティングシステム(OS)のセキュリティパッチを適用する必要があります。

 

また、多くのデバイスやネットワークには、アカウントの乗っ取りを防ぐための、多重のセキュリティ機能が用意されています。たとえば、電子メールの2段階認証を設定をすることで、認証情報の盗難による悪用を防ぎ、FreeMilkのような攻撃を防御することができます。


 

2018 年のセキュリティ脅威予測とベストプラクティス

2017年のセキュリティの振り返りに引き続き、パロアルトネットワークスが2017年までの傾向から見る、2018年の主なセキュリティ脅威予測とベストプラクティスについて紹介します。
Palo Alto Networks,
  • 0
  • 1350

EncodedCommandによるPowerShell攻撃を暴く

PowerShellは過去数年間で人気を獲得し続けていますが、それはこのフレームワークが発達し続けているからです。したがって、PowerShellを多くの攻撃で見かけるようになっていても少しも驚くことではありません。PowerShellはシステム上の広範囲にわたる機能を攻撃者にネイティブなものとして提供します。有害なPowerShellツールが溢れかえっている現状をざっと見渡してみると、PowerShellの伸びを示す十分な兆候が見て取れます。
  • 0
  • 2238

Palo Alto Networks Petya ランサムウェア攻撃に対するプロテクション

何が起こったか: 2017年6月27日、Petyaのランサムウェアは、政府や重要インフラストラクチャのオペレータを含む複数の組織に影響を与え始めました。この攻撃は、2017年5月のWanaCrypt0r / WanaCry攻撃と同様の方法で広がっているようで、ETERNALBLUEエクスプロイトツールを使用してMicrosoft Windows SMBプロトコル経由でネットワークを通過する可能性が高いと思われます。 Palo Alto Networksの顧客は、次世代セキュリティプラットフォームの複数の要素にわたって作成、配信、施行された保護機能により、Petyaの攻撃から自動的に保護されました。
  • 0
  • 1734

ランサムウェア防御のベスト プラクティス

ランサムウェアとは、エンド ユーザーのコンピュータ上のファイルの暗号化を試み、暗号化されたファイルの復元と引き換えに金銭を要求するマルウェアの一種です。 ランサムウェアは、現在の脅威ランドスケープにおいて最も一般的な脅威の1つです。 異なる多くの亜種が存在し、感染から回復するために多額の費用がかかる恐れがあり、ランサムウェアの攻撃者は、被害者からできる限り多くの身代金を巻き上げようとします。 この記事では、ネットワークがランサムウェアに感染しないようにするための一般的なガイドラインとして、役に立つベスト プラクティスをいくつか紹介します。
  • 0
  • 1309

オープンソースソフトウェアを利用した 暗号通貨 「Monero」の大規模なマイニング攻撃キャンペーン

概要 パロアルトネットワークスの脅威インテリジェンスチーム Unit 42 は、大規模な 暗号通貨 のマイニング(採掘)攻撃キャンペーンが、4 ヶ月以上にわたり活発に行われている様子を観測しました。この攻撃では、暗号通貨の1つであるMoneroのマイニングのために、オープンソースの マイニングソフトウェアXMRig ユーティリティが利用されています。
  • 0
  • 1648