フィッシング
CAPTCHAによって検知回避を図るフィッシング攻撃への対処法:挙動ベースのAI保護機能を活用
本稿では、CAPTCHAによって検知回避を図るフィッシング攻撃の脅威について解説し、さらに、その脅威に対処可能なセキュリティフレームワークを紹介します。
CAPTCHAとは、「コンピュータと人間を識別する完全自動の公開チューリングテスト(Completely Automated Public Turing test to tell Computers and Humans Apart)」の略記であり、不正アクセスの防止やセキュリティの向上に役立つ技術として大きな役割を果たしています。本技術は、「チャレンジレスポンス」の仕組みに基づいて動作し、人間と自動化ボットの区別を行います。
CAPTCHAの技術は、ここ数年で目覚ましい進歩を遂げました。現在では、当該技術に基づくツールが数多くのサービスプロバイダから無償提供され、サイバー攻撃からWebサイトを保護する手段として利用されています。しかし、攻撃者もまた、CAPTCHAの認証機能をフィッシングWebサイトに設置し、検知回避の手段として不正利用するようになりました。CAPTCHAは自動化ボットをブロックする目的で作られているため、セキュリティツール側でこうしたフィッシングの手口を検知することは、より一層困難なものとなります。
そのため、従来型の検知方式だけでは、現代の脅威に対処し切れない傾向になります。こうした状況への打開策として、トレンドマイクロでは、「挙動ベースのAI保護技術」を搭載したプラットフォームを導入し、高度な回避手段を備えたフィッシングWebサイトを的確に検知します。以降、脅威の詳細と、その対策について詳しく解説します。
CAPTCHAを検知回避に利用するフィッシングの手口
以前であれば、分析用クローラがフィッシングWebサイト内にアクセスしてコンテンツを取得し、その特徴やメタデータをもとに不正を検知することが可能でした。しかし、CAPTCHAが導入されたことで、従来型のソリューションでは主要なコンテンツの取得に失敗するケースが増え、十分な検知性能を発揮することが難しくなりました。
以降、CAPTCHAがフィッシングの検知回避にどのように利用されているかを示す事例を挙げ、その内容について解説します。
フィッシングメールの例
フィッシング用URLや添付ファイルは多くの場合、有名なWebサイトやサービスからの通知を装ったメールに埋め込まれる形で拡散します。この他、メール内で継続的な議論がスレッド進行しているように見せかけて、信憑性を高めようとする手口も確認されています。攻撃者は、フィッシング用リンクをメール中のさまざまな場所に埋め込みます。例えば、メール本文や画像の他、HTML、PDF、ZIP形式による添付ファイル中に埋め込む場合もあります。
攻撃者は検知回避のために多様な方式でファイルをメールに添付する他、独自のファイル拡張子の付与、ファイルの難読化を施す場合もあります。特にHTMLによる添付ファイルは柔軟性に富むため、攻撃者にとっては、その内容を難読化することや、JavaScript(JS)コードを埋め込む選択肢もあり、検知回避に適した手段の1つと考えられます。ユーザ目線ではこれらの手法が大きな影響を及ぼすことはありませんが、従来型の検知システムに対しては大きな障壁になるでしょう。
CAPTCHAページ
CAPTCHAによる認証サービスは、さまざまな形で提供されています。典型例として、文字や画像の認識によって認証するものが挙げられます。しかし、最近のCAPTCHAはさまざまなデータポイントを利用して、追加の手動認証が必要であるかを総合的に判定します。こうした新しいCAPTCHAのシステムは、以前のシステムと比べて難しいものではなく、特別な追加操作を要するものでもありません。追加の手動認証が求められた場合、ユーザが行うべきことは、ただ1つのボタンを押下するだけです。しかし、これは従来型のフィッシング検知システムにとっては大きな障壁であり、Webページ内部に閉じ込められ、主要なコンテンツを取得できないまま終わってしまう可能性もあります。
フィッシング用ページ
ユーザがCAPTCHAの認証を通過すると、フィッシング用ページが表示されます。フィッシング用ページは通常、MicrosoftやWebメール、OutlookのWebアプリなど、馴染みのあるサービスのログイン画面に偽装されています。これらの画面は多くの場合、従来からのフィッシングWebサイトと同じ方式で作られています。
検知を行う上での課題
上述の攻撃手段に対峙する際の最も大きな課題は、人間ならば検知回避の目的で設置されたCAPTCHAの認証を難なく通過できるのに対し、セキュリティ製品の検知モジュールではさまざまな理由からこれを突破できないことが多く、容易には不正を突き止められない点にあります。
CAPTCHAによる認証サービスはしばしばサービスプロバイダから無償で提供され、コンテンツ配信ネットワーク(CDN:Contents Delivery Network)に統合されている場合もあります。そのため、CAPTCHAは一般的に正規なWebサイトで利用される傾向にあり、CAPTCHA認証を要求するページの内容自体も正規なものと認識されがちです。結果、解析モジュール側では正規なWebサイトのCAPTCHAと不正なWebサイトのそれを容易に識別できないこととなります。
攻撃者が用いる検知回避の手口は多角化しつつあります。単一の分析観点のみに依存する従来型の検知システムでは、多様な攻撃に対処し切れない可能性が高いと考えられます。例えば、検知の条件としてURLの特徴のみを使用する場合や、「Trend Micro Web Reputation Service」によるWebページのコンテンツ分析、「Trend Micro™ Email Reputation Service」によるメールの挙動分析をそれぞれ単独に用いた場合が、これに相当します。単一の観点のみに頼った方式では、解析上の盲点が生じることに加え、誤検知のリスクも高まり、検知システムとしての精度を維持し難くなると考えられます。
不正なURLを用いたフィッシング攻撃の検知数が増大
トレンドマイクロの調査によると、2023年の1月1日から6日3日にかけて、CAPTCHAによる回避機能を備えたフィッシングWebサイトの検知数が著しく増加しています。特に、第2四半期の検知数は、第1四半期と比べて2倍以上に増えていることが見て取れます。検知困難という特性に目を付け、攻撃者はCAPTCHAの認証サービスを大々的に利用し、不正な目的を達成しようとしています。
挙動ベースのAI保護機能
先述した通り、単一の分析観点に依存した検知方式では、近年の脅威に対処する上で不十分です。トレンドマイクロのソリューションでは、製品の諸機能、メール、Web、ファイルの脅威分析を統合し、メールを受信したユーザの挙動やメール内に含まれる各種情報を検証します。さまざまな観点に基づくデータを統合的に解析するAI機能により、検知の信頼性と精度が大幅に向上しています。
リアルタイム検知の他、バックエンドシステムでは、不正なURLが潜む未検知のメールや添付ファイルからさらに広範な情報や特徴を抽出し、これらをビッグデータ解析にかけることで、より高度な分析と検知を実現しています。不正なメールが新たに発見された場合は、「Trend Micro™ Retro Scan™」の技術によって当該メールを処置し、脅威の影響を最小限に抑え込むことが可能です。
挙動ベースのAI保護機能が扱う領域は、CAPTCHAによる回避手段を備えたフィッシング攻撃のみに留まりません。攻撃手法が急速に進化して多様化しつつある状況下において、本AI保護機能は、高速かつ洗練された包括的なソリューションを提供します。これによって、ユーザの方を多種多様な脅威からリアルタイムで保護することが可能です。
参考記事:
Addressing CAPTCHA-Evading Phishing Threats With Behavior-Based AI Protection
By: Alex Y. Chen and York Li
翻訳:清水 浩平(Core Technology Marketing, Trend Micro™ Research)