Open in app

Sign in

Write

Sign in

標的型攻撃を見破ることは可能か?

syuya yuikura
這いよれ Pentest Lab
Published in
Mar 10, 2022

概要

本記事では標的型攻撃を人間が見破ることが可能か考察してみる。

2022年、Emotetの再流行によりフィッシングメールへの注意喚起が多く飛ぶ様子が観測できる。

しかし、多くの注意喚起が「怪しいメールには注意しよう」「不審なサイトに騙されないようにしよう」という内容だ。この「怪しい」「不審」というのはなんだろうか?

言葉にしてみるなら「正規のメール・サイトではない疑わしい存在」を示しているのだろうが、これは正確に人間が判断できるものなのか?

一定のルールを決めてそれに従うことで、この怪しさを判断できるなら標的型攻撃は回避できるといえるだろう。

本記事では、フィッシングメール・サイトの「怪しい」と思われる要素が一定のルールベースで判定可能なのかを考察する。

ドメイン

標的型攻撃は特殊な状況(ドメインが乗っ取られる、MITM等で通信が偽装される)以外では非正規のドメインでメールやURLが構成される。

つまり、正しいドメインを判別できれば標的型攻撃に引っかかる可能性はかなり抑えられるといえる。

では、このドメインを確実に判別することは「人間」に可能なのか?

判別するには以下の条件がある。

  1. 正しいドメインを正確に知っている
  2. 対象が正しいドメインかを判別できる

まず「正しいドメインを正確に知っている」は意外と難しい。Amazonのような利用頻度の高いドメインなら覚えているかもしれないが、利用頻度の少ないサイトのドメインを正確に言える人は少ないはずだ。あなたは月1で利用するサイトのドメインを正確に書けるだろうか?

次に正しいドメインを知っていたとして、あなたはアドレスバーあるいはメールの細かい文字から正しいドメイン名を正確に選べるだろうか?

さて、ここでテストだ。

どれが正しいGoogleのドメイン名か判別できるだろうか?

多くの人は疑ってかかったとしても判別できないのではないだろうか?

もちろん正しいドメインをコピーし、どれが検索で引っかかるか等の調査をすることで一意に判別可能だが、1通1通のメール、1個1個のURLにそれらの作業を求めることは非現実的だ。

はっきり言って正しいドメインを全て暗記するのも、常に正しいドメインを判別するのも一般人が満たすことは不可能だ。

非常に煩雑な調査手順を踏まない限り、一般人に「ドメイン名に気を付けて」というのは穴だらけなアドバイスだと判断できる。

メール文・サイトの構成

メールやサイトの構成で不自然な点がないか、で判断しようとするアドバイスも多い。

「日本語が正しくない」「CSSがずれている」「文体が一定ではない」…etc

確かに不自然な文章・構成がある場合、それが罠である可能性は高いだろう。しかし、それは不自然な文章・構成がなければ安全であることを意味しない。

つまり、あなたが何らかのルールに基づきメール・サイトから不自然な点がないかをくまなくチェックして問題ないことを確認したところで、それは安全性を担保しない。

つまり、無意味な観点と言える。

アンチウイルス

標的型攻撃は罠サイトに誘導してブラウザ等の脆弱性を狙う、添付ファイルを開かせてマルウェアを実行するというタイプが多い。そのため、アンチウイルスで常にスキャンするというのは確かにリスクの軽減には繋がる。

しかし懸念点はある。

・アンチウイルスの信頼性

少なくとも、WindowsDefenderがデフォルトで実装されている世の中でEmotetは猛威を振るっているわけであり、Defenderが全て防御してくれるわけではないことは自明だ。また、有料のアンチウイルスが全て防御してくれる保証もない。軽減してくれるだろうが、リスクは0にはならない。

・ウイルスとは関係ない攻撃

偽サイト等でクレカ情報を入力させる攻撃にはアンチウイルスはまったく無力だ。

そもそも添付ファイルをダウンロードしてアンチウイルスを適用する時点で、半分くらい攻撃者の意図通りに行動してしまっているともいえる。アンチウイルスは最後の防衛ラインであり、あくまでリスク軽減が目的である。これに全て頼るのは「標的型攻撃を見破る」という目標からは程遠いだろう。

結果の考察

ドメイン名で見破るのも、文章構成で見破るのも、アンチウイルスで見破るのも確実ではない。これらを複合して考えたところで、それらは安全性を高めるだけであり、安全を保障するものではない。

つまり、送信された標的型攻撃をその内容から、あなたが目で確認するのは困難だと私は考える。

対策

「怪しいメール」を確実に白黒つける方法がないかもしれないが、確実に正規のメールを判別する方法はある。サイトでも可能だ。

それは登録しておくことである。

メールであればAmazon等の正しいドメインをアドレス帳に登録しておけば、そこから飛んできたメールは登録済みの名前で表示される。ブラウザであればお気に入りからそのサイトに飛べば罠サイトに行くことはない。

ドメイン名を人間の目で確認することは上記の通りかなり難しいが、機械が間違えることはまずない。だから、正規か非正規かは全て機械に判定してもらうことをお勧めする。

登録してないドメインを見つけた場合は……リスクを考えて行動してほしい。

まとめ

本記事では人間が一定のルールや基準に従って標的型攻撃を防げるのかについて考察した。

結果としては人間の目に頼る方法は困難だと私は考える。

また「これらの判断は訓練すれば向上するのでは?」という考えにも反対だ。上記で説明したように一定のルールで判別できない場合、そもそも何を訓練すればいいかが明確ではない。「非常にわかりやすい標的型攻撃」を判別できたからと言って、「本物そっくりの標的型攻撃」を防ぐ練習にはならない。

これらの攻撃は各種詐欺と一緒で、人間が人間を騙そうとしているものであり、人間の直感だとか、曖昧な論理で防げるようなものではない。

みなさんも、標的型攻撃対策は自信過剰にならないように気を付けてほしい。

Security

--

--

syuya yuikura
這いよれ Pentest Lab

Written by syuya yuikura

45 Followers
Editor for

Security Engineer/OSCP

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams