メインコンテンツへスキップ
フィッシング攻撃はDMARCの痕跡を残す

フィッシング攻撃はDMARCの痕跡を残す

2018年8月7日
エコシステムニュースセキュリティ・インサイト

今年初め、アンチフィッシング・ワーキング・グループ(APWG)とdmarcianは、データセット全体にわたるパターンを調査し、何か興味深い傾向が見られるかどうかを確認する機会を得ました。 そこで、AWPGの脅威データ共有プラットフォーム「eCrime Exchange(eCX)」に含まれるフィッシングおよび悪意のあるIPアドレスデータセットと、当社のDMARCレポートに記載されたアドレスとを照合し、重複があるかどうかを確認するとともに、もしあればそのパターンを探ることにしました。以下は、eCrime 2018で発表した結果です。

概要

dmarcianでは、お客様のメールシステムにDMARCを導入するサポートを行うほか、生成される数多くの集計レポートやフォレンジックレポートの処理も行っています。企業が導入プロセスを進める際、これらのレポートを確認する上でまず重視すべき点は、自社ドメインからの送信を主張するすべての正当な送信元が適切に設定されていることを確認することです。

しかし、あなたのドメインを名乗って送信していると主張する、その他のIPアドレスについてはどうでしょうか?ポリシーを p=rejectに設定し、それらのメッセージが一切通らなくなったと分かると、ほっと安心するものです。しかし、もし他にも発見すべきものがあるとしたらどうでしょうか?これらのIPアドレスがすべて、ドメインの許可を得ずにメールを送信していることは分かっています……しかし、既知の悪意あるアクターとこのデータを照合してパターンを探ればどうでしょうか?インターネット全体にわたる不正利用を特定できるでしょうか?個別のシステムやレポートでは見えない範囲を超えて、攻撃の広がりを把握できるでしょうか?

データソース

APWGと協議した結果、悪意のあるIPアドレスおよびフィッシング攻撃に関するデータセットへのアクセス権限を得て、どのような情報が得られるか調査を行いました。悪意のあるIPアドレスデータセットは、現在利用可能なデータの99.986%をPayPalが提供しているため、そのほとんどがPayPal由来です。フィッシング攻撃データセットは規模は小さいものの、あらゆる業界にわたる多種多様な企業から提供されています。

以下は、分析時点でのデータの様子です。

  • eCXの悪意あるIP:2,400万件の報告、800万件のユニークIP
  • eCX Phish:325万件の報告、13万件のユニークIP
  • dmarcianDMARC:20億件のレポート、1,800万件のユニークIP

これらのセットを組み合わせて分析した結果、悪意のあるIPアドレスとDMARCから100万件強、フィッシングとDMARCから2万件が検出されました。3つのセットすべてに含まれていたのは約2,000件でした。

悪意のあるIPデータの分析

この重複部分から、影響を受けたIPアドレスとドメインの両方を確認することができます。1つのIPアドレスが複数のドメインを代表してメール送信を試みることがあり、各ドメインごとに異なる認証結果が生じる可能性があります。

IPアドレス別にDMARCの結果を確認すると、以下のことがわかります:

  • 95.2%がDKIMとSPFの両方に失敗した
  • 4.0%:DKIMは失敗したが、SPFは合格
  • 0.8% SPFには失敗したが、DKIMには合格した

視点を切り替え、影響を受けたドメイン別に同じ結果を見ると、次のようなことがわかります:

  • 95.8%がDKIMとSPFの両方に失敗
  • 4.0% SPFは失敗したが、DKIMは合格した

IPアドレスとドメインの両方の結果を統合したものを、以下では「統合結果」と呼ぶが、その結果は以下の通りである:

  • 95.5%がDKIMとSPFの両方に失敗した
  • 2.7%:DKIMは通過するがSPFは失敗する
  • 1.7%:SPFは通過したが、DKIMは失敗した

両方の分析から一貫して得られる知見は何か?DMARCレポートに報告された悪意のあるIPアドレスのうち、SPFとDKIMの両方に合格するのは0.1%未満であるのに対し、95.5%以上が両方に不合格となっている。

以上が概要です。では、こうした結果の背景をさらに詳しく見てみるとどうでしょうか。DKIMの結果の大部分は、そもそもDKIMレコードを含める試みさえ行っていません。これは予想されることです。なぜなら、DMARCレコードが設定されていない場合、受信側のメールサーバーは、メールヘッダーにDKIM情報が記載されていない限り、そのドメインでDKIMが設定されているかどうかを知る術がないからです。

SPFはDNSレベルでのドメイン全体の設定であるため、DMARCレコードがなくても受信側のメールサーバーはこれを確認できます。それにもかかわらず、ドメイン別の結果を見ると、SPFレコードが全く設定されていないドメインに著しく偏っていることがわかります。これはある程度理解できることであり、フィッシング攻撃の犯人は、そのドメインを装ってメールを送信する前に、SPFが設定されていないドメインを探し出す可能性があるからです。ただし、IPアドレスの分布はより均等になっています。

これらの結果の背景を探るにあたり、私たちは違反件数が最も多い国別の内訳について興味を持った。その結果、興味深い分布が明らかになった。イランを除き、ほぼすべての国で違反ドメイン数が違反IPアドレス数を上回っていたが、イランについては、違反IPアドレス数が他の違反国を合わせた数よりも多かった。また、ASN別にも分析したところ、ドメイン数ではドイツの1つのASNが最多であり、次いで中国の4つ、イランの6つが続いた。

フィッシュはどうですか?

これらの数字は興味深いものでしたが、データの大半がPayPalからのものだと分かっていたため、より幅広い業界を網羅したデータセットでも同様の結果が得られるかどうかを確認するために、フィッシング攻撃に関するデータを調べてみることにしました。まず、国別の分布を確認したところ、まったく異なる状況が浮かび上がってきました。

この点において、米国が最も深刻な状況にあり、次いでドイツが続いています。データセットから著しく欠落しているのは、イランと中国の両国です。そこで、フィッシングおよび悪意のあるIPアドレスのデータから抽出したごく一部のサンプルを分析してみたところ、そのわずかなサンプルでさえ、前述のフィッシングの結果と極めて類似した傾向を示していました。

送信元によって大きな違いがあることを踏まえ、それがメール認証の結果にどのような影響を与えるのか興味がありました。実際、その違いはかなり顕著でした。悪意のあるIPデータセットのドメインおよびIP全体において、SPFとDKIMの両方で95.5%の失敗率が見られました。

しかし、フィッシングの結果は次のとおりである:

  • 66.2% SPFとDKIMの両方に失敗
  • 32.7%がDKIMに合格し、SPFに不合格
  • 0.7% SPFは合格、DKIMは不合格

これに対し、我々が最初に考えたのは、データセットの範囲が広すぎたのではないかということでした。何しろ、DMARCレポートは、各組織が徐々に設定を進めていくにつれて時間とともに変化していくものです。そこで、対象範囲を大幅に絞り込み、2018年3月の結果だけに焦点を当ててみたらどうだろうか?その結果は、さらに衝撃的なものでした。

まず、悪意のあるIPアドレスのデータは概ね同様ですが、DKIM通過率がより高いことが確認できます。

しかし、フィッシュはそれよりもはるかにひどい。

フィッシュの約58%が、実はDKIMを通過しているのです!このような数字を見ると、その原因について様々な憶測が飛び交うかもしれませんが、その話に入る前に、もう少し詳しく見ていきましょう。

Forwarders(転送事業者)

このデータに含まれるもののうち、まだあまり触れてこなかったのが「メール転送サーバー」です。これは、メッセージを中継しようとするサーバーのことです。例えば、顧客がメールを受信した後、メールボックスプロバイダーに転送するホスティング会社や、大学の同窓生向け転送アドレス、あるいは別のアドレスへ即座に転送されるように設定されたメールボックスなどがこれにあたります。

フィッシング調査の結果を分析し、既知のメール転送サーバーを含めると:

  • 57.8%がDKIMには合格したがSPFには不合格で、そのうち99.89%は転送業者経由のものでした。
  • 42.0%がDKIMおよびSPFの検証に失敗し、そのうち31.17%は転送業者を経由したものでした

< 0.1%

両方のデータセットに共通して言えることとして、今回確認された衝撃的な結果にもかかわらず、報告されたフィッシングや悪意のあるIPアドレスのうち、SPFとDKIMの両方の検証を通過しているのは約0.1%未満に過ぎないという点があります。これは、厳格なDMARCポリシーを導入しているドメインにとって大きな成果と言えます。

DMARCポリシーそのものについてはどうでしょうか?DMARCを設定する際、「disposition(処理方法)」という設定項目があります。これは、送信元のルールに適合しないメッセージに対して、受信側がどのように対応すべきかを指定するものです。この設定には、配信を完全に阻止する「reject」、メッセージをスパムフォルダに送る「quarantine」、あるいは何もしない「none」といった選択肢があります。では、DMARCの処理設定に基づいて、フィッシングメールの処理結果はどのように表示されるのでしょうか?

80%以上が「none」に設定されています。これはさらに詳しく調査する価値があります。なぜなら、SPFレコードと同様に、攻撃者は攻撃を実行する前にドメインのDMARCレコードを確認し、脆弱なポリシーが適用されているかどうかを判断できるからです。これらのディスポジションの結果をSPFおよびDKIMの結果と組み合わせることで、全体像を把握することができます。

DKIMを通過したすべての結果は、DMARCポリシーが「none」に設定されているドメインからのものでした。ここで少し推測を加えてみる余地があります。なぜなら、これが単なる正規分布であるならば、他のセクションでもDKIMを通過した結果がいくつか見られるはずだからです。

DKIMが注目される理由は、送信元からのメールに暗号鍵を用いて署名し、その公開鍵をDNSに登録して受信者が照合できるようにしている点にあります。暗号鍵は強度によって異なり、強度の低い鍵ほど解読されやすくなります。 2012年、数学者のザカリー・ハリス氏は、Googleが脆弱な512ビットの鍵を使用していることに気づき、それを解読して話題を呼びました。彼はその実証として、Googleの創業者であるラリー・ペイジ氏とセルゲイ・ブリン氏に、互いを装ってメールを送信しました。その2日後、Googleは鍵の強度を2048ビットに引き上げました。1年後、Gmailは512ビット以下の鍵で署名されたメールに対してDKIM検証に失敗するようになりました。

DKIMのベストプラクティスには、DKIMキーを定期的にローテーションすることが含まれます。キーが変更されないまま放置される期間が長ければ長いほど、そのキーが侵害されたり悪用されたりする可能性が高まります。ベストプラクティスであるとはいえ、DKIMキーのローテーションは、送信メールサーバーとDNSレコードの両方に変更を加える必要があるため、決して簡単な作業ではありません。 多くのメールサービスプロバイダーは、送信メールサーバーを管理しているため、この作業を自動化しています。具体的には、プロバイダーのDNSを指すCNAME DNSエントリとして2つのDKIMレコードを設定してもらうことで実現します。これにより、プロバイダー側は新しい鍵を設定し、古い鍵を無効化し、送信メッセージでどの鍵が使用されているかを判断できるようになります。

SPFでは、少なくともフィッシング攻撃者が許可されたIPアドレスの範囲内からメッセージを送信する必要があり、そのためには実際のマシンや共有メールプロバイダーが侵害される可能性があります。ローテーションされていない脆弱なDKIMキーと、SPFに失敗しても通過を許可してしまう「none」というDMARCディスポジションの組み合わせは、攻撃者にとって魅力的な標的となり得ます。 最後のグラフの結果は、この説を裏付けるものと思われます。DKIMを通過しているフィッシングメールのうち、DMARCのディスポジションが「none」より厳しいドメインから送信されたものは0%でした。残念ながら、本レポートではDKIMキーの強度の内訳を把握することができませんでした。

常習犯向けの対策

これまでに確認したすべての結果の中で、私たちはSPF/DKIMの検証失敗の広がりについて興味を持ちました。特に失敗の頻度が高いドメインはあったのでしょうか?特定のドメインに対して、他のドメインよりも多くのIPアドレスから攻撃が仕掛けられていたのでしょうか?それらのDMARCおよびSPFポリシーはどのような内容だったのでしょうか。次のグラフでは、2018年3月を期間として、ドメイン名は「業界関係者限定」として伏せてあります。

3月、SPFおよびDMARCポリシーが不十分なある不動産関連のドメインでは、そのドメインを名乗ってメールを送信している1万件以上のIPアドレスが、SPFとDKIMの両方の検証に失敗していました。上位10社のうち、「拒否」ポリシーを設定しているのはわずか3社のみであり、1社は「隔離」設定を採用していますが、これはそのドメインを名乗って送信されるメールのわずか1%にしか影響しないため、「なし」設定からほんのわずかに改善したに過ぎません。

最悪のIPアドレスについてはどうでしょうか?

3月、中国にある1つのIPアドレスが、22万5,000以上のドメインを装ってメール送信を試みましたが、そのすべてがSPFおよびDKIMの検証に失敗しました。これは、2位以下の数値を大きく上回っていることから、異常なケースであると考えられます。 これらのIPアドレスの一部は「悪意のあるIPアドレス」リストに含まれており、その他は既存のブラックリストに登録されていたが、この事実は、DMARCレポート自体がブラックリストに登録すべきIPアドレスを特定する手段となり得るのかという疑問を投げかけている。結果の集計期間を通じて、違反が最も多かった上位10のIPアドレスは、それぞれ3万以上のドメインを標的にしていた。これは図表には示されていないが、参考までに付記しておく。

また、これらのIPアドレスを一般に公開されているDROPリストと照合してみましたが、大きな重複は見られませんでした。しかし、これは単に、それらのIP範囲からのトラフィックが、真正性チェックに到達する前にフィルタリングされていることを示しているだけかもしれないため、これだけでは明確な結論を導き出すのは困難です。

結論

今回の結果は、私たちにとって非常に興味深いものでした。DMARCレポートの集計結果を、既知の悪意あるレポートシステムと比較できたことで、いくつかの興味深い傾向が明らかになりました。

私たちにとって、これは次の3つの明確な考えに集約されます:

  1. 適切なメール対策を実施することで、DMARC、DKIM、SPFを通じてドメインを効果的に保護でき、厳格なポリシーを適用しているドメインに対しては、違反率が0.1%未満に抑えられています。
  2. DKIMを通過するもののSPFに失敗するフィッシングトラフィックの量は懸念される。これは、鍵のローテーションなど、より適切なDKIMポリシーの導入を強く示唆するものである。
  3. 今後、これらのレポートから得られた否定的な結果を統合することで、ブラックリストや警告システムの強化に役立つ可能性があると考えられます。

さらに詳しく議論を続けたい方は、ぜひ dmarcian Forum へお越しください。

サイバー犯罪フィッシング

関連記事