近年における多くのサイバー攻撃者が、以前よりも増して高度になりました。企業組織のネットワーク上でサイバー攻撃を受けた多くは、攻撃の最終段階で少なからず損害を受けていると思います。サイバーキルチェーンにおいて最も重大なステージの一つがマルウェアの不正侵入です。

長年にわたり多くのマルウェア侵入経路として典型的な手法が、フィッシング攻撃と言えるでしょう。この攻撃手法は、ソーシャルエンジニアリング (人間の心理的な隙や、行動のミスにつけ込んで個人が持つ秘密情報を入手する手法)で、偽のメールなどを利用し、相手の隙をついて重要な情報又はネットワークのセキュリティホールを開放(無力化）してしまいます。

2021年のある統計によると、少なくとも91%のサイバー攻撃がフィッシング攻撃という報告があります。エンドユーザーはこのような悪質化していくサイバー攻撃チェーンの犠牲者と化します。

フィッシング攻撃は以下のような方法で仕掛けられます。

• Email – メール添付ファイルに悪意のあるドキュメント又はURLのリンク先が掲載
• Website – 健全なウエブサイト(Paypal, Ebayなど)の偽物ログインページ
• SMS – 偽のウエブサイトや悪意のあるダウンロードページへ誘導
• Twitter, Facebook や LinkedInなどのSNS – 偽のログインページを囮として個人パスワード情報を盗んだり、求職者の履歴書ファイルに悪意のあるマクロを仕掛けダウンロードさせる手法

フィッシング攻撃の典型的な仕掛けは、メール上に偽の請求書ファイルを添付する手法ですが、昨年はコロナ蔓延に関するメールにExcel/Wordファイルが添付され、悪意のあるマクロが仕掛けられているケースです。ユーザーが間違ってファイルをクリックするとリモートコマンド・コントロールサーバー (C&C Server又はC2 Server)から悪意のファイルがダウンロードされてしまいます。

LCG KitやEtterSilentなどの正当なツールを利用して攻撃を仕掛けたりします。

典型的なフィッシング攻撃で登場するマルウェアとしては、Trickbot, Emotet, Ursnifなどがあります。Minervaの先制防御テクノロジーでMicrosoft Office製品が悪意のあるペイロード実行を下の図に示すように先制防御します。

図1 -  悪意のEXCELファイルがeqnedt32.exe を利用して任意コードを実行するのを先制防御した攻撃タイムライン

Minerva製品（Minerva Armor）についてのお問い合わせはPico Technologies (info@pico-t.co.jp)までお願い致します。