Adversary-in-the-Middle フィッシング攻撃手法について学ぶ

現在、フィッシング攻撃は非常に一般的です。サイバー犯罪者のこの手法はデータを盗むのに非常に効果的であり、草の根レベルでの多大な労力は必要ありません。ただし、フィッシングにもさまざまな形式があり、その 1 つが Adversary-in-the-Middle フィッシング攻撃です。では、Adversary-in-the-Middle フィッシング攻撃とは何でしょうか?そして、どうすればそれらを回避できるでしょうか?

中間者攻撃とは何ですか?

Adversary-in-the-Middle (AiTM) フィッシング攻撃には、セッション Cookie をハイジャックして個人データを盗み、さらには認証層をバイパスすることが含まれます。

クッキーについて聞いたことがあるかもしれません。現在、クリックするほとんどの Web サイトでは、オンライン体験をより適切に調整するために Cookie の使用に同意するよう求められます。つまり、Cookie はオンライン アクティビティを追跡して、習慣を理解します。これらは、新しい Web サイトをクリックするたびにサーバーに送信されるデータの小さなテキスト ファイルであるため、特定の関係者があなたのアクティビティを監視できるようになります。

クッキーにはたくさんの種類があります。必要なものもあれば、まったく必要のないものもあります。 AiTM 攻撃にはセッション Cookie が関与します。これらは、Web セッション中にユーザー データを保存する一時的な Cookie です。これらの Cookie は、ブラウザを閉じるとすぐに失われます。

フィッシングで通常起こることと同様に、AiTM フィッシング攻撃は、サイバー犯罪者が通常は電子メールを介してターゲットと通信することから始まります。これらの詐欺は、悪意のある Web サイトを使用してデータを盗むこともあります。

AiTM 攻撃は Microsoft 365 ユーザーにとって特に差し迫った問題であり、攻撃者はターゲットに連絡して 365 アカウントへのサインインを要求します。このフィッシング攻撃では、悪意のある攻撃者が Microsoft の公式アドレスになりすますが、これもフィッシング攻撃ではよくあることです。

ここでの目的は、ログイン情報を盗むことだけではなく、被害者の多要素認証 (MFA) または二要素認証 (2FA)層をバイパスすることです。これらは、スマートフォンやメールなどの別のデバイスまたはアカウントに許可を要求することで、アカウントのログインを確認するために使用されるセキュリティ機能です。

サイバー犯罪者は、プロキシ サーバーを使用してMicrosoft と通信し、偽の 365 ログイン ページをホストすることもあります。このプロキシを使用すると、攻撃者は被害者のセッション Cookie と資格情報を盗むことができます。被害者が悪意のある Web サイトに資格情報を入力すると、セッション Cookie が盗まれ、偽の認証が行われます。これにより、攻撃者は被害者の 2FA または MFA 要件を回避して、被害者のアカウントに直接アクセスできるようになります。

AiTM フィッシング攻撃から身を守る方法

AiTM フィッシング攻撃は通常のフィッシング攻撃とは異なりますが、同様の方法を適用して防ぐことができます。

まずは、メールに記載されているリンクから始めましょう。信頼できると思われる送信者から、オンライン アカウントのいずれかにログインするには、提供されたリンクを使用する必要があるという電子メールを受け取った場合は、注意してください。これは古典的なフィッシング戦術であり、特に攻撃者がターゲットにできるだけ早く自分のアカウントにログインするよう促す説得的または緊急の言葉を使用した場合、多くの被害者を罠にはめる可能性があります。

したがって、何らかの種類のリンクが含まれる電子メールを受信した場合は、クリックする前に必ずリンク テスト サイトで実行してください。何よりも、メールにアカウントにログインする必要があると記載されている場合は、ブラウザでログイン ページを検索し、そこからアカウントにアクセスするだけです。こうすることで、提供されたリンクをクリックしなくても、アカウントに解決する必要がある問題があるかどうかを確認できます。

また、送信者が信頼できる個人であると主張している場合でも、見覚えのないアドレスから送信された添付ファイルを開かないようにする必要があります。悪意のある添付ファイルは AiTM フィッシング攻撃にも使用される可能性があるため、開くものには注意する必要があります。

つまり、本当に添付ファイルを開く必要がない場合は、添付ファイルをそのままにしておいてください。

一方、添付ファイルを開く必要がある場合は、その前にいくつかの簡単なテストを行ってください。添付ファイルのファイル タイプを確認して、添付ファイルが疑わしいものであるかどうかを判断する必要があります。たとえば、.pdf、.doc、zip、.xlsファイルは悪意のある添付ファイルで使用されることが知られているため、添付ファイルがこれらのファイル タイプのいずれかである場合は注意してください。

何よりも、メールの内容を確認してください。添付ファイルに銀行取引明細書などの文書が含まれていると送信者が主張しているが、そのファイルの拡張子が .mp3 である場合、ファイルMP3 は文書化には使用されないため、フィッシングで潜在的に危険な添付ファイルを扱っている可能性があります。

ファイル拡張子を忘れずに確認してください

受信した不審なメールの送信者アドレスを確認してください。もちろん、すべての電子メール アドレスは一意であるため、ハッキングされていない限り、攻撃者が会社の公式電子メール アドレスを使用して連絡することはできません。フィッシングの場合、攻撃者は組織の公式アドレスに似た電子メール アドレスを使用することがよくあります。

たとえば、Microsoft を名乗る人物から電子メールを受信したときに、アドレスに「Microsoft」ではなく「micr0s0ft」と記載されている場合は、フィッシング詐欺に遭っていることになります。犯罪者は、電子メール アドレスに文字や数字を追加して、正規のアドレスに非常によく似たものにすることもあります。

リンクを確認することで、リンクが疑わしいかどうかを判断することもできます。悪意のある Web サイトには、通常とは異なるリンクが含まれていることがよくあります。たとえば、提供されたリンクから Microsoft サインイン ページに移動するとメールに記載されているのに、URL ではこれがまったく別の Web サイトであると記載されている場合、それは明らかに詐欺です。 Web サイトのドメインを確認することは、フィッシングの防止に特に役立ちます。

最後に、公式の送信元であるはずの電子メールを受け取った場合、スペルや文法の間違いが満載である場合は、詐欺に遭っている可能性があります。正規の企業は通常、電子メールが正しく書かれていることを保証しますが、サイバー犯罪者はこの点でずさんな場合があります。したがって、受け取った電子メールがずさんに書かれている場合は、次に取る行動に注意してください。

フィッシングは非常に人気があり、個人と組織の両方をターゲットにするために使用されます。つまり、この脅威から本当に安全な人間は誰もいません。そのため、AiTM フィッシング攻撃や詐欺全般を回避するには、データを安全に保つために上記のヒントを検討してください。