2023.10.05

#7　なりすましメール見抜けてますか？ 意外に知られていない攻撃者の意図と対策の盲点

情報漏洩対策

vade

セキュリティ

メール

なりすましメール

意外に知られていない攻撃者の意図と対策の盲点

セキュリティの観点でメールを考えたときに、よく指摘されるのは、メールは送信者に簡単になりすますことができるという点です。

メールはインターネット初期の30年以上前からあるプロトコルで、当初はスパムや詐欺などの悪意のある行為を想定していませんでした。その後、なりすまし対策としてSPF(Sender Policy Framework)やDKIM(Domain Keys Identified Mail)など様々な方法が段階的に作られ、現在ではMicrosoft 365やGoogle Workspaceにも実装されています。

しかし、SPFやDKIMはなりすまし対策の有効な手段の一つですが、それでも完璧ではありません。
なりすましは、ソフトウェアの構造的な脆弱性や人間の心理的な隙をつき、ひいてはプロトコルの曖昧さや、運用の決めきれない線を攻めてくる厄介な攻撃です。
では、メール送信者へなりすますにはどのような手法があるでしょうか？実は手法は様々で、それぞれに攻撃者の意図があります。以下が代表的な例です。

例）info@vadesecure.com になりすます場合

1.　送信者の正規ドメインに似たドメインを使う。
（info@vvadesecure.comを使う（vが重なっている））

2.　本物の送信者そのものを名乗る。
（そのままinfo@vadesecure.comを名乗る）

これらの手法を、攻撃者側の意図から考えてみましょう。

1.　送信者の正規ドメインに似たドメインを使う

本物のドメイン名と「似た」別のドメインを取得する手法です。

例えば、「vadesecure.com」と似通わせて、「vvadesecure.com」（vが重なっている）といったドメインを取得します。

こうすることで、「info@vvadesecure.com」といった本物と似たアドレスなどの取得が可能です。

この手法の最も大きい利点は、攻撃者がSPFやDKIM などの送信者ドメイン認証を突破できる利点があります。

攻撃者は「vadesecure.com」そのものを名乗っているわけではなく、「vadesecure.com」と「似た」ドメインである「vvadesecure.com」 と認証するだけですので、本物である「vadesecure.com」とは技術的には何も関係ありません。

似たドメインを取得すればSPFやDKIMなどの送信者認証は全く問題なく突破でき、それだけではなく、より似たドメインを取得できれば、視覚的にも見間違える、警戒心をさげるなどの人による心理フィルターもすり抜けることも期待できます。

この発展型としては、「info@vadesecure.com.jrklfafa12aaaa.com」のようなドメインを取得して、そのサブドメインやホスト部に正規のドメインの文字列をいれる方法もあります。

こちらも先の例と同様に、ドメインそのものは攻撃者が取得したものなので、SPFやDKIM は全く問題なく突破できます。

別の発展型としては、良く知られたサービスのサブドメインを取得する手法があります。
例えば、Microsoft社の「windows.com」ドメインやcloudflare社の「workers.dev」ドメインです。

これらは該当のサービス利用者であれば、サブドメインが自由に取得可能です。
また、攻撃者にとってはドメイン全体を指定したブラックリスト登録がされないなどの利点があります。

攻撃者が必要とするコストは、メール送信以外では、ドメイン取得とフィッシングサイトのスペースといった程度で安価です。
ドメインは100円以下で取得可能ですし、実際に脅威メールで使われたドメインを調べると、格安レジストラで購入していることがわかります。
近年は日本国内の誰もが知っている有名格安レジストラも多く使われています。

2.　本物の送信者名をメーラーに表示させる

古典的な手法で、メールプロトコルの根本問題である送信者を自由に名乗れる点を悪用した手口です。
古典的ではありますが、厄介な手法でもあります。この攻撃手法に対してはSPFやDKIM が有効な技術ですが、意外と盲点もあり、注意が必要です。

SPFやDKIMはメールをブロックしない

攻撃者が本物の送信者を名乗った際、通常メールシステムはSPF や DKIM が認証失敗（fail）しますので、送信者のなりすまし検知が可能です。しかし、実際のところSPFやDKIMでなりすましを検知してもメールシステムの運用においてブロックまですることは稀です。

これは様々な理由がありますが、理由の一つとしてメールは業務や生活に密接に関わっているため、一律ブロックするというルールを導入することは運用として慎重にならざるを得ないからです。

また、メールシステムの構成によって本物のメールであってもSPFやDKIM が認証失敗(fail)してしまうことがあります。

例えば、メールシステムの前段で脅威メールを検知するゲートウェイ型のセキュリティ製品を使用した場合です。
ゲートウェイ型製品の先にあるメールシステムでは、本物メールも含めてすべてのメールでSPF がほぼ認証失敗(fail) します。
DKIMに関しても、メール本文に介入するソリューションなどで、DKIM も認証失敗(fail) することがあります。

ゲートウェイ型メールセキュリティはこれらの問題を個別の設定で回避できるものもありますがメール技術と導入したソリューションへの高い知識が求められます。

なりすましが認証成功（Pass）してしまう

一つは、ゲートウェイ型のメールセキュリティでは、最終地点のシステムでSPFやDKIM が前述のとおり、正しく働かない可能性があります。

一方で、新しいタイプのAPI型メールセキュリティでは、その心配がありません。
メールの経路に直接介入しないので、SPFやDKIMが想定通りに働きます。
加えて、API型は多重のメールセキュリティエンジンをそれぞれの性能劣化なしで、同時利用が可能です。

例えば、Microsoft 365ではEOP(Exchange Online Protection)がメールセキュリティのエンジンとして標準で使えますが、API型ではEOPと同時利用が可能です。これは、ゲートウェイ型では決してできない方法です。

もう一つは、SPFやDKIMはとても良い技術ですが、絶対的な方法ではないため、なりすましを検知できる最新技術を活用することが有効です。

近年では、なりすまし対策にもAI技術が使われるようになりました。AIは未知の脅威を予測することに非常に長けています。

では私たちはどのように対策をとれば良いのでしょうか？

ある条件によってはなりすましで認証が成功してしまうという奇妙な事態が起こっています。
これはSPFとゲートウェイ型メールセキュリティの併用環境で実際に確認されている現象です。
よくある攻撃手法の１つに自社の従業員になりすます、もしくは自分自身になりすます脅威メールがあります。

例えば、以下のようななりすましメールです。

john@vadesecure.com （他の従業員になりすまし）→　mary@vadesecure.com

mary@vadesecure.com（受信者本人になりすまし）→　mary@vadesecure.com

これはフィッシングメールというより、金銭詐欺メールやビジネス詐欺メール（BEC）で良く見られます。
これらがゲートウェイ型のメールセキュリティを通過してしまうと、その後段のメールシステムではSPF が認証成功（Pass） してしまうことがよく起こります。

これはSPF レコードの設定に幅を持たせている場合や、ゲートウェイ型セキュリティのデザイン設計そのものが不適切な場合に発生する事象です。

特に後者の場合は、修正する手段が限られており非常に厄介な問題となります。

最後に

Vadeはグローバルで10,000社以上のお客様に導入され、トータル14億個のメールボックスを監視しています。
毎日、そこから得られる某大な脅威情報を人と機械によって学習し、さらにAIを活用することで、未知のメール脅威やビジネスメール詐欺などなりすましメールを予測的に検知しています。

またAPI型のVade for M365は導入が容易で、Microsoft 365と親和性の高い設計になっており EOPとの多層防御を実現することができます。
ご興味がございましたら、担当営業へお声をかけて下さい。

執筆者

Y.H.　

営業技術本部 MP統括部　

サイバースレッド＆セキュリティオペレーション担当​
IIM入社後一貫してLANSCOPE、LogRevi、Cylanceなどの「内部情報漏洩対策」および「サイバー攻撃対策」の提案に従事。EDR、NDR、SIEM、SOC、インシデントレスポンスサービスもラインナップに加えセキュリティオペレーションも担当。​