脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺 | ScanNetSecurity
2024.06.18(火)

脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

 アメリカ国家安全保障局(National Security Agency:NSA)は現地時間5月2日、米連邦捜査局(FBI)および米国務省とともに「北朝鮮の攻撃者は弱いDMARCセキュリティ・ポリシーを悪用して、スピアフィッシングの取り組みを隠蔽する」を発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー

 アメリカ国家安全保障局(National Security Agency:NSA)は現地時間5月2日、米連邦捜査局(FBI)および米国務省とともに「北朝鮮の攻撃者は弱いDMARCセキュリティ・ポリシーを悪用して、スピアフィッシングの取り組みを隠蔽する」を発表した。

 同報告書には、北朝鮮のサイバープログラムと過去の情報収集事例に関する背景、強力なDMARCポリシーがどのように北朝鮮の攻撃者をブロックするのに役立つかの説明、悪意のある活動のレッドフラッグ指標、北朝鮮のサイバー攻撃者が使用する2つの電子メールのサンプルと緩和策が含まれている。

 米国政府および民間のサイバーセキュリティ企業では現在、大規模なソーシャル・エンジ ニアリング・キャンペーンを実施している北朝鮮のサイバー攻撃者の特定集団をKimsuky、Emerald Sleet、APT43、Velvet Chollima、Black Bansheeとして追跡している。Kimsukyは、北朝鮮のRGB(偵察総局)の一要素である63rd Research Centerの管理上の下部組織で、少なくとも2012年以降に、RGBの目的を支援する広範なサイバーキャンペーンを実施している。

 Kimsuky 攻撃者は、侵害に成功することで、より信頼性が高く効果的なスピアフィッシングメールを作成し、より機密性が高く価値の高いターゲットに対し活用することができる。

 北朝鮮のサイバー攻撃者は、標的を欺くために作られたメールを使用するスピアフィッシングのようなソーシャルエンジニアリングのテクニックを、侵害を開始し、標的のデバイスやネットワークにアクセスするための主要なベクトルとして利用している。Kimsukyのスピアフィッシング ・キャンペーンでは、価値のある潜在的な標的を特定するためにオープンソースの情報を活用し、標的にとって現実的で魅力的に見えるようにカスタマイズされたオンラインペルソナを作成するなど、広範な調査と準備から始まる。

 Kimsukyのサイバー攻撃者は、説得力のあるメール・メッセージに加え、シンクタンクや高等教育機関を含む信頼できる組織の個人になりすまし、メール受信者との信頼関係を構築するために、偽のユーザー名を作成し、正当なドメイン名を使用することを確認している。なりすましメールは、信頼できる組織の実際のドメインからではなく、攻撃者が管理するメールアドレスとドメインから送信されるが、懐疑的な受信者が送信者が正当かどうかを確認したくても、受信者のメール応答は、信頼されたドメインのなりすましメールアドレスに送り返されてしまう。メールヘッダの「reply-to」セクションには、北朝鮮の攻撃者が管理するメールアドレスとドメインが表示されるが、それでも合法的に見えるという。

 FBI、米国国務省、NSAでは、DMARCセキュリティポリシーのサイバーセキュリティ態勢を改善するために、CISAと 米国標準技術局(NIST)が策定したCPG(Cross-Sector Cybersecurity Performance Goals)に沿って、メールのセキュリティについてはDMARCを有効にしてポリシーを「隔離(quarantine)」または「拒否(reject)」に設定することで、脅威を軽減することを推奨している。また、組織のドメインから送信されたとされるメールメッセージのDMARC結果に関する集計レポートを受け取るために、「rua」などの他のDMARCポリシーフィールドを設定することを推奨している。

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. 約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

    約 30 名の学生がフィッシング被害に ~ 明治薬科大学教員の M365 アカウントに不正アクセス

  2. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

  3. オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

    オイレス工業にランサムウェア攻撃、生産活動に影響なし 出荷通常通り

  4. 役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

    役に立たないメール訓練 もうやめません? by Googleセキュリティ担当者

  5. ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

    ニデックインスツルメンツにランサムウェア攻撃、複数のサーバ内ファイルが暗号化被害

  6. KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

    KADOKAWA グループ複数サイトで障害、サイバー攻撃の可能性

  7. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  8. 実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

    実在しないアドレスを使用 ~ 東京大学役員を装った迷惑メールに注意呼びかけ

  9. 日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

    日経BP従業員メールアカウントに不正アクセス、33名の個人情報流出の可能性

  10. 米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

    米政府、病院 IT システムの自動パッチ適用ツールに 80 億円投入

ランキングをもっと見る