オリジナルの記事はThreatSTOP社Ofir Ashman氏が書いたもので、本記事はその日本語訳です。オリジナルの記事(英語)は以下のURLからご覧いただけます。
https://blog.threatstop.com/5-ways-attackers-can-hack-your-email-account
情報システム管理者がメールに対する攻撃を頭に浮かべた時、真っ先に思いつくのはフィッシングメールだと思います。フィッシングは一般的、かつ残念ながら成功率が高い攻撃ですが、多くの攻撃者は被害者のアカウント情報を得るために、別の手段を使います。Eメールアカウントの漏洩は、攻撃者にとって重要な最初のステップであり、この先終わりなく続く情報漏洩の始まりです。
今回のブログ記事では、攻撃者がEメールアカウント情報、そして個人情報を盗み取るために利用する5つの方法について解説します。
攻撃手法① 総当たり攻撃(Brute Force)
総当たり攻撃は、攻撃者のアカウントに対して様々な組み合わせでログインを試み、パスワードを当てるというシンプルな攻撃手法です。John The Ripper やAircrack-ngなど、総当たり攻撃を自動で行うことのできるパスワードクラッキングソフトウェアを利用します。総当たり攻撃が以前は手動で行われていましたが、現在はボットネットを活用することで、複数のパスワードクラッキングを行うためのパワーを賄っています。
従来の全ての文字や数字の組み合わせを繰り返すような、トライアンドエラーのやり方は、シンプルなパスワードは当てることができますが、現在ではパスワードはもっと複雑に作られており、手間がかかりすぎます。ランダムな文字の組み合わせではなく、辞書ファイルにある言葉の組み合わせを試す辞書攻撃(Dictionary attack)は総当たり攻撃の発展形です。辞書ファイルには、パスワードによく使われるようなフレーズ、誕生日や記念日、主要なペットの名前、人気の映画、人気の本のタイトルなどが含まれています。
攻撃手法② レインボーテーブル攻撃(Rainbow Table Attack)
レインボーテーブル攻撃では、攻撃者はレインボーテーブルを使って被害者のパスワードをクラックしようとします。パスワードは通常平文で保存されることはなく、独自のハッシュで暗号化され、そのハッシュは特定のデータベースに保存されます。レインボーテーブルは平文のパスワードと対応するハッシュのディクショナリが含まれており、パスワードの推測に悪用される可能性があります。
攻撃者は、可能性のあるすべてのパスワードの組み合わせとパスワードのハッシュバージョンを事前に計算したレインボーテーブルを利用します。一度システムに侵入し、ハッシュ化されたパスワードのデータベースのアクセスできた、もしくはサードパーティーの情報源からハッシュ化されたパスワードのリストを手に入れたら、盗んだリストから見つけたターゲットのハッシュと自身のレインボーリストのハッシュと比較することができます。盗んだリストから見つけたハッシュは、事前に計算されたレインボーテーブル内で調査され、一致するものがあった場合、攻撃者は対応するパスワードを平文で見ることができてしまいます。こうして、パスワードが盗まれるのです。
攻撃手法③ パスワードスプレー攻撃(Password Spraying)
総当たり攻撃とは異なり、この攻撃手法は「少なくて遅い」ことが特徴です。一つのユーザー名に複数のパスワード候補を試していくのではなく、パスワードスプレー攻撃では、一般的に利用される一つのパスワードを全てのユーザー名に試していく攻撃です。この方法だと、管理者からは複数のアカウントがエラーを出しているだけに見えるので、検知されにくく、アカウントがロックされません。他の攻撃手法が特定のユーザーを狙い撃ちしようとしている一方で、この手法は一般的に弱いとされるパスワードを利用しているユーザーを無差別に攻撃するために利用されます。
攻撃手法④ クレデンシャルスタッフィング攻撃(Credential Stuffing)
クレデンシャルスタッフィング攻撃は、攻撃者は既に、特定のサービスのユーザー名、メールアドレス、対応するパスワードのリストを持っている状況で行われます。複数のサービスでパスワードを使いまわす人が多いという想定で、攻撃者はそのリストのユーザー名パスワードの組み合わせを様々なサービス、Webサイトで自動でチェックさせます。実際に多くの人がパスワードを使いまわしているので、非常に深刻度の高い攻撃です。The 2019 Global Password Security Reportでは、ユーザーは平均して13回パスワードを使いまわすという結果が出ています。
攻撃手法⑤ キーロギング(Keylogging)
キーロガーとは、キーボードの入力情報を監視、保存するソフトウェアプログラムの機能です。被害者の端末にインストールされたマルウェアが一つの要素としてもっていることが多いです。悪意のある添付ファイルや、メールの中のリンク、Webページのスクリプトなど様々な手法で、攻撃者はキーロギングを行うトロイの木馬を送り込んできます。キーロガーは、全てのキーボードの入力情報を監視し、ユーザー名やパスワードなどをC2サーバに送信します。こうして、攻撃者は望み通り、パスワードを刈り取り、情報を利用できるようになるのです。
[SMART_CONTENT]
アカウントを守るためにするべきこと
パスワードが盗まれる危険性を最小化したいですよね。以下に記載したいくつかの事項を行うことでパスワードのセキュリティは飛躍的に高まります。
複雑なパスワードを使用すること
少なくても8文字以上の長さにし、Top 200 Most Popular Passwordsに掲載されていないことを確認しましょう。
パスワードの使いまわしはしないこと
使いまわすのはとても楽なことではありますが、どんなに大きなサービス、有名なサービスであっても情報漏洩は多発しています。パスワードを使いまわすことで、一つでは収まらず、複数のアカウント情報が流出してしまう危険性が高まります。
二要素もしくは多要素認証を導入すること
例えパスワードがクラックされたり盗難されたりしても、他の認証を通過できないとアカウントにはアクセスできないので、有効です。
悪意を持つメールから身を守る
届いたメールをチェックし、正規の送り先を確認せずに、メール内のリンクをクリックしたり、添付ファイルを開いたりするのは絶対にやめてください。
トラフィックをモニタリングする
アクセスを繰り返そうとしている怪しい通信などが無いかモニタリングし、検知した場合は更なる攻撃を止めるために、ファイアウォールに怪しい通信の送信元IPアドレスをブラックリストとして追加しましょう。
悪意のある通信をブロックする
悪意のあるインバウンド通信を止めれば、マルウェアのDLを止めることが出来ます。また、たとえ既にマルウェアが潜んでいたとしても、アウトバウンド通信をモニタリングし、止めていればマルウェアは攻撃者のC2サーバにパスワード情報を送ることはできず、流出しません。
新型コロナウイルスの影響を考慮し、ThreatSTOP社は現在3か月間もしくは、新型コロナウイルスによる在宅勤務が終了となるまで、端末のローカルDNSに対して脅威インテリジェンス与え悪意のある宛先へのアウトバウンド通信をブロックするRoaming ThreatSTOPを無償で提供中です。新型コロナウイルスの影響で急速なテレワーク化が進み、メールへの攻撃も急激に高まっています。急なことでどうしても職場で会社が用意したネットワークを利用している時と比べてセキュリティレベルは下がります。社内で仕事をしている時と同じようなセキュリティレベルで利用できるよう、無償提供を行うことを決めました。
DNSクエリをベンダーのクラウドに送るような製品はプライバシーの問題が発生したり、クラウドに送る途中でマンインザミドル攻撃(中間者攻撃とも)によってデータが漏洩したり盗聴されるリスクが存在します。一方でThreatSTOP社が提供するRoaming ThreatSTOPは、デバイスのローカルDNSをDNS Firewallに変身させるソリューションで、トラフィックを自身の管理下に置くことが出来、またDNSSECの強化でDNSハイジャックを防ぐことができます。
簡単にセットアップでき、ハードウェアや、今回のキャンペーンに関する契約、責任はありません。ただ、皆さんのお役に立てれば幸いです。
ThreatSTOPの製品概要については、こちらからご覧ください。