包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジー(Check Point® Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント)は、ハッカーが用いる難読化手法の一つ「ピクチャ・イン・ピクチャ攻撃」についての解説と対策を子会社Avananのブログで公開しました。この手法では、ハッカーは大手百貨店や航空会社を装ったメールを用い、メール内画像のリンク先にフィッシングサイトを設定します。ユーザーが画像をクリックし、リンク先のフィッシングサイトで認証情報を入力すると情報が窃取されてしまうため、特に注意が必要です。
悪意を隠す難読化の手法
ハッカーたちは、見る人の目を欺くソーシャルエンジニアリング戦術を用いますが、その手法のひとつに難読化が挙げられます。電子メールの真の意図を隠すことによって、セキュリティスキャナーにクリーンなメールであると認識をさせます。フィッシングメールが迷惑ボックスへ分類されることを防ぎ、エンドユーザーがそのメールを開く可能性を高めてしまいます。
本リリースでは、難読化の一種である、ハッカーが画像内に悪意あるリンクを隠し、ユーザーをフィッシングサイトに誘導する攻撃手法「ピクチャ・イン・ピクチャ」について説明します。
攻撃
この攻撃でハッカーは、メール本文などにペーストすることで意図したリンク先へ誘導するマジックリンクを作成し、利用します。
-
攻撃ベクトル:電子メール
-
攻撃タイプ:悪意あるリンク
-
攻撃の手口:ピクチャ・イン・ピクチャ、難読化
-
ターゲット:あらゆるエンドユーザー
電子メールの例
上の画像は、一見ごく普通の電子メールのようですが、これはアメリカの大手百貨店チェーンKohl’sからのメールを装う偽のメッセージで、ユーザーが無料のロイヤルティプログラムへの参加者に選ばれたことを伝えています。しかし、このURL先はKohl’sとは無関係です。
上画像も同様に、メールに含まれる画像は、デルタ航空のギフトカードのオファーとして説得力のある見た目をしています。しかし、この画像のURLもデルタ航空へのリンクではありません。
Kohl’s、デルタ航空を装ったどちらの例も、偽メール内の画像をクリックすると、ユーザーは認証情報窃取を目的とするページにリダイレクトされます。
正規のブランドから送られてくるメールでは、上記の例に類似する、画像内にURLが仕込まれたものを多く目にするでしょう。このフィッシングメール手法ではそれを真似し、見栄えの良いプロモーション画像にKohl’sやデルタ航空とは無関係なページをリンクすることでユーザー情報の盗取を試みています。
攻撃の手口
難読化はハッカーによく使われる手法で、ユーザー情報の盗取といった真の目的を隠した攻撃手口は多く見受けられます。今回の場合は、例えばデルタ航空で使用できる1,000ドルのギフトカードプレゼントを装った魅力的な画像で、ユーザーを誘導し、正当でない行為を実行させます。
またハッカーが偽画像にリンクを仕込むのは、メールのURLフィルターをかいくぐる目的もあります。もし画像内をスキャンしていなければ、メールはセキュリティ上クリーンに見えるはずです。これはごく一般的な手法であり、ハッカーは多くの場合、ファイルや画像、QRコードなどに悪意あるリンクを設定します。この手口の対策にはOCRによる画像のテキスト化や、QRコードを解析しデコードすることが有効になりますが、多くのセキュリティサービスは、こうしたことを実施しないか、実施することができません。
ベストプラクティス:ガイダンスと推奨事項
こうした攻撃から保護するために、次のような対策を推奨します。
-
すべてのURLを確認し、その背後にあるページをエミュレートできるセキュリティを実装する
-
このようなフィッシング手法を攻撃検知に指標とするURLプロテクションを活用する
-
オフィススイート全体でフィッシングコンテンツをブロックできる、AIベースのアンチフィッシングソフトウェアを活用する
本リリースは米国時間2023年6月1日に発表した Avananのブログ < https://www.avanan.com/blog/the-picture-in-picture-attack > (英文)に作成しています。
チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ(https://www.checkpoint.com/)は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社(https://www.checkpoint.com/jp/)は、1997年10月1日設立、東京都港区に拠点を置いています。
ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan
本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 (合同会社NEXT PR内)
Tel: 03-4405-9537 Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp