• 電子メールによるソルティング攻撃:隠されたテキストはどのようにセキュリティをバイパスするか

電子メールによるソルティング攻撃:隠されたテキストはどのようにセキュリティをバイパスするか

by

最終更新日:
8 読了時間:約8分
電子メールによるソルティング攻撃:隠されたテキストはどのようにセキュリティをバイパスするか

メールのソルト処理は、密輸業者が目立つ場所に密輸品を隠すようなもので、たとえ目の前にあっても、気づかずに通り過ぎてしまうようなものです。 

ある Cisco Talosのレポートによるとによると、メール・ソルト攻撃が深刻な懸念事項となっており、フィッシング攻撃ではウェルズ・ファーゴやノートン・ライフロックといったブランドを装うことさえ可能になり、その間も検知メカニズムを回避し続けている。

このガイドでは、Eメール・ソルティングがどのように行われるか、それがEメールのセキュリティに与える影響、そしてPowerDMARCのようなツールが受信トレイの「X線スキャナー」として機能し、こうしたほとんど目に見えない脅威を可視化する方法について解説しています。

主なポイント

  • 規制対象業界のIT責任者やセキュリティチームにとって、ソルティングのような高度な電子メール脅威を理解し、そのリスクを軽減することは、コンプライアンスの遵守とブランド保護のために不可欠です。
  • メール・サルティング攻撃とは、サイバー犯罪者がスパムフィルターを回避するためにメール内に隠しテキストを挿入する電子メールの脅威である。
  • 脅威者は、これらの攻撃を容易にするために、Hidden Text Salting、Bayesian Poisoning、Email Header Saltingなど、いくつかのテクニックを展開することができる。
  • Eメール・ソルティングは、検知を回避し、 フィッシングメール、ランサムウェア、ビジネスメール詐欺、およびソーシャルエンジニアリング攻撃の検知回避と配信を助長する可能性があります。
  • PowerDMARCの統合プラットフォームは、高度な脅威インテリジェンスとリアルタイムのアラート機能を提供し、マルチドメイン組織全体において、こうした高度な攻撃を検知・防止します。

ソルティング攻撃とは?

メールソルト攻撃では、攻撃者がメール内に隠されたテキストを埋め込み、スパムフィルターをすり抜けようとし、 メールセキュリティ システムを回避しようとします。しかし、ソルト(塩)の概念自体は悪意のあるものではありません。従来のソルトはパスワードをランダム化し、パスワードのセキュリティを強化する非常に効果的な方法です。 電子メール・ソルト攻撃の手法は、不純な動機を持って電子メールの内容を欺瞞的な方法で操作するという点で、安全なソルト手法とは一線を画しています。

攻撃者はEメール・サルティングのテクニックを使う:

  • スパム検出を回避する 見えない文字を挿入して、スパム検知を回避する。
  • Disrupt メール分析 ツール 単語のパターンに依存する
  • 受信トレイに届く確率を高める スパムフォルダではなく、受信トレイに届く可能性を高めましょう。

電子メール・ソルティング攻撃で一般的に用いられる手法

1.隠しテキストのソルティング

この手法では、攻撃者はメールに隠されたテキストや難読化されたテキストを埋め込みます。こうした目に見えないメッセージには、次のようなものがあります:

  • 単語の中に非表示のUnicode文字(ゼロ幅文字)を挿入することで、キーワードベースのフィルタを回避することができます。
  • CSSプロパティを巧みに利用すれば、悪意のあるテキストを隠すことができます。 これらは、次のような無害なコマンドである可能性があります。 display:nonefont-size:0のような無害なコマンドである場合もありますが、 ですが、実行されると危険な場合があります。
  • もし白い背景に白文字で記述すると、肉眼では判読不能になり、見えなくなってしまいます。これは、危険なコードやテキストを隠すための、単純でありながら見過ごされがちな手法です。

2.ベイズ中毒

この「メール・ソルティング」攻撃の手法では、悪意のあるメールにランダムな単語や無害な単語を挿入し、 ベイジアン・スパムフィルターベイジアンフィルターは、確率計算を用いてスパムと正当なメッセージの違いを見分けます。攻撃者は、スパムとしてフラグが立てられないようなランダムな単語、あるいはよく考え抜かれた単語を追加することで、これらのフィルターを操作し、回避しようとします。 これにより、ベイジアンフィルターはメールの内容が安全であると判断し、通過させてしまうのです。

3.メールヘッダのソルティング

攻撃者は、メールの「返信先」や「Return-Path」フィールドに不要な情報や誤解を招く情報を挿入し、メールヘッダーを改ざんします。その結果、悪意のあるメールは検知を逃れ、実際よりも正当なメールであるかのように見せかけることができます

4.ユニコードのホモグリフ攻撃

攻撃者は、肉眼では似ていても実際には異なる文字に、メールの内容を簡単に置き換えることができます。よくある例として、「m」を「rn」に置き換えることが挙げられます。この手法は、スパム検出フィルターをすり抜けるのに有効な場合があります。

メール・ソルティング攻撃の兆候を見分ける方法

Eメール・ソルティング攻撃を特定するには、些細な兆候や異常な動きに注意を払う必要があります。手動による検知手法は、こうした点に大きく依存しています。以下は、特に注意すべき主な兆候の一部です:

メール・ソルティング攻撃の一般的な兆候

  • 不審な書式設定: 不自然な余白、フォントの不統一、またはテキストが途切れているように見える
  • 非表示の文字: メールには表示されない余分な文字が含まれているテキストをコピー&ペーストしてください
  • 予期しないHTML/CSS: 単純なメッセージにもかかわらず、複雑なHTML構造を持つメール
  • 送信者の不審な行動: 一見正当に見える送信者による、通常とは異なるメールの送信パターン
  • 内容の不整合: 送信者の通常のコミュニケーションスタイルと一致しないメッセージ

ITチーム向け検知チェックリスト

  • メールのソースコードを調べて、隠された要素がないか確認する
  • メール本文内のゼロ幅文字をチェックする
  • 非表示の指示に関するCSSプロパティを確認する
  • メールヘッダーを分析し、異常なルーティングパターンを検出する
  • スパムフィルターのバイパス率に急激な変化がないか監視する

電子メール・ソルト攻撃の検知ツール

機密情報を扱う複数のコミュニケーションチャネルを有する組織 機密情報を を扱う組織は、その場しのぎの監視だけでは不十分です。メールソルトを検出するには、専用のツールや手法が必要となります。これは、高度な攻撃に対抗する上で、ますます重要になっています。利用可能なソリューションの包括的な概要をぜひご覧ください:

業界標準の検出ツール

ツールの種類特徴最適
メールセキュリティゲートウェイ高度なコンテンツ分析、隠されたテキストの検出企業環境
高度なスパムフィルター機械学習、パターン認識中小企業および大企業
法科学分析ツールメールの詳細な検査、ソースコードの分析セキュリティチーム、調査担当者
PowerDMARCプラットフォーム予測型脅威インテリジェンス、リアルタイムアラートマルチドメイン組織、MSP

メール・ソルティング攻撃の実例

実際の状況をより具体的にご理解いただくため、メール・ソルティング攻撃の被害に遭った2つの実例をご紹介します。これらを参考に、自社の防御体制を強化していただければ幸いです。以下は、最近のインシデントを基に匿名化した事例です:

事例研究 1:金融サービスにおけるなりすまし

攻撃の流れ: 攻撃者は、隠しテキストのソルト処理を用いて大手銀行を装い、メールフィルターを回避しました。彼らは「b‌a‌n‌k」や「a‌c‌c‌o‌u‌n‌t」といった単語の文字の間に目に見えないUnicode文字を挿入し、キーワード検出を巧みに回避しました。

影響: 1万人以上の受信者がこの悪意のあるメールを受信し、検知されるまでのクリック率は15%に達した。

検出方法: 事後調査において、高度なコンテンツ分析ツールにより隠された文字が特定された。

事例研究 2:ソフトウェアライセンス詐欺

攻撃の流れ: サイバー犯罪者は、CSSプロパティを利用して、本物そっくりのソフトウェア更新通知の中にランダムなテキストを隠し、ベイジアンフィルタをうまく回避した。

影響: 500以上の組織のIT管理者を標的とし、その結果、認証情報の盗難や不正なソフトウェア購入が発生した。

得られた教訓: 組織は、隠れたCSS要素を検出するために、後から視覚的コンテンツ分析ツールを導入した。

電子メール・セキュリティへの影響

メール・ソルティング攻撃は、メールのセキュリティやドメインの評判に重大なリスクをもたらします。これには以下のような悪影響が考えられます:

  1. フィッシング: Eメール・ソルティングはフィッシング攻撃を容易にし、悪意のあるコードが被害者のシステムに到達する成功率を高めます。
  2. ランサムウェア: 不正なメッセージをすり抜けさせてしまうことで、メールソルト攻撃は ランサムウェアの拡散につながる恐れがあります!
  3. ソーシャルエンジニアリング: メールソルトもまた、 ソーシャルエンジニアリング の手法を容易にし、従業員を詐欺の被害に遭いやすくします。

組織への影響とビジネスへの帰結

差し迫ったセキュリティ上のリスクにとどまらず、対応すべきより広範なビジネス上の影響も存在します:

  • コンプライアンス・リスク: データ保護の不備は、金融、医療、および同様の規制対象業界における規制要件に違反する可能性があります
  • ブランドの評判: 攻撃が成功すると、ブランドイメージ、信頼、および信用が低下する
  • 財務的影響: ソルト攻撃に起因するデータ漏洩は、多大な金銭的損失および法的責任を招く
  • 業務の混乱: インシデントへの対応および復旧作業により、通常の業務運営に多大な支障が生じ、数ヶ月にわたり業務の流れが停滞する

メール・ソルト攻撃を防ぐ方法

攻撃者が手口を増やし続ける中、それらに対抗するための技術的対策も登場しています。以下に、メール・ソルト攻撃を防ぐための革新的な方法をいくつか紹介します:

1.高度なフィルタリング

より高度なフィルタリングメカニズムを開発することは、メールのソルト攻撃対策において決定的な転換点となる可能性があります。こうしたメカニズムにより、隠されたテキストや異常なHTML構造を検出できるようになります。セキュリティチームは、ソルト攻撃の被害を軽減するのに役立つ、より洗練されたテキスト解析メカニズムやソフトウェアを考案することができます。

2.AIと機械学習

AIの進歩により、メールソルト攻撃の脅威を軽減するという点では、将来は明るい見通しです。 AIを活用したツールは、傾向を効果的に特定するのに役立ちます。その好例が、PowerDMARCの「Predictive Threat Intelligence」分析です。これは高度な攻撃パターンをプロアクティブに監視・予測し、セキュリティチームに優位性をもたらします。

3.ビジュアル・コンテンツ分析

多くのメールセキュリティツールは、メール内に隠されたメッセージを検出するために、画像コンテンツの分析機能を活用しています。サイバー犯罪者がメールソルト攻撃を容易にするために隠されたテキストを挿入する中、画像分析はこうした目に見えない異常を検出するための有効な手段となります。

多層的な防御戦略

メールセキュリティに対する多層的なアプローチは、メールソーティングのようなサイバー脅威に対抗する上で、最も実績があり効果的な方法です。以下の対策を必ず講じてください:

  • ユーザートレーニング: 従業員に対し、不審なメールのパターンを見分ける方法や、潜在的な脅威を報告する方法について教育する
  • ポリシーの更新: 明確なメールセキュリティポリシーとインシデント対応手順を策定する
  • インシデント対応計画: ソルト攻撃の成功に対する包括的な対応計画を策定する
  • 定期的なセキュリティ評価: 電子メールセキュリティの有効性について、定期的に評価を実施する

PowerDMARCがメールのソルト攻撃を防ぐ仕組み

PowerDMARCのメールセキュリティプラットフォームは、高度なメールソルト攻撃からお客様を守るよう設計されています。主な機能は以下の通りです:

  • 予測分析 攻撃の新たな傾向が広まる前に特定する
  • リアルタイムのアラート 不審なメール認証パターンや潜在的な脅威に対する
  • 一元化されたダッシュボード すべてのドメインおよびメール配信元をリアルタイムで可視化する
  • 高度な脅威インテリジェンス 受信トレイに届く前に、隠されたテキストによる攻撃を検知・ブロックする
  • ロールベースのアクセス制御とドメイングループ化 大規模なチームや、複数のクライアント環境を管理するMSP向け
  • 24時間365日のグローバルサポート および規制対象業界向けのコンプライアンス対応レポート機能

メールのソルト攻撃対策にPowerDMARCを選ぶ理由:

  • 統合プラットフォームによる管理 DMARC、SPF、DKIM、BIMIMTA-STS、およびTLS-RPTを管理する統合プラットフォーム
  • AWSおよびAzureのマーケットプレイスで提供されており、企業環境へのシームレスな導入が可能です
  • SOC2およびISO27001の認証を取得したプラットフォームで、世界中の組織から信頼されています
  • 複雑なマルチドメイン要件を持つ企業およびMSP向けの専用サポート

メール・ソルティング攻撃の疑いがある場合の対処法

もし、自組織が「メール・ソルティング」の標的になったと思われる場合は、迅速に対応し、以下の手順に従うことをお勧めします:

緊急対応措置

  1. 不審なメールには 不審なメールには一切応じないでください。リンクをクリックしたり、添付ファイルをダウンロードしたりしないでください
  2. 直ちに ITセキュリティチームまたはメール管理者に直ちにご連絡ください
  3. 証拠を保全する メールを改変せずにセキュリティチームに転送して、証拠を保全してください
  4. メールのソースを確認する メールのソースコードに、非表示の要素や不審なHTML/CSSがないか確認する
  5. 同僚に注意喚起 同様のメールを受け取っている可能性がある同僚に

組織としての対応手順

  1. 影響を受けたシステムを隔離する ユーザーがその悪意のあるメールとやり取りした場合
  2. セキュリティプロトコルを見直す およびメールフィルタリングルールを更新する
  3. フォレンジック分析を実施する 攻撃の手法を把握するために
  4. インシデント対応手順を更新する 得られた教訓に基づき
  5. 次のような PowerDMARCのような高度なメールセキュリティソリューションの導入をご検討ください

まとめ

PowerDMARCを活用することで、企業は「メール・ソルト」のような進化し続ける脅威からメールセキュリティを将来にわたって守り、コンプライアンスの遵守と安心を確保できます。ドメイン名を将来に備えた体制にすることで、次なる大規模なデータ漏洩やサイバー攻撃からブランドを守ることができます。

今すぐ始めましょう。 DMARC、SPF、DKIM を導入し、メールのなりすましから守りましょう。これらの認証プロトコルは、メールを悪用した様々なサイバー攻撃に対するセキュリティの第一歩となります。

PowerDMARCが、メールソルト攻撃のような高度な脅威から組織をどのように守れるか、ぜひご確認ください。 今すぐ15日間の無料トライアルを開始しましょう。

よくあるご質問

なぜEメール・ソルティングは有効なのでしょうか?

Eメールの「ソルト」が機能するのは、従来のスパムフィルターの仕組みによるものです。従来のスパムフィルターはパターン認識やキーワード検出に依存していますが、これらは容易に回避されてしまいます。攻撃者は、隠されたテキストや文字を挿入することで、認識可能なスパムのパターンを崩しつつ、受信者にとっては悪意のあるコンテンツがそのまま届くようにすることができます。これは本質的に、機械と人間がテキストを処理する方法の違いを悪用しているのです。

メールに返信すると、ハッキングされる可能性はありますか?

単にメールに返信しただけでは、通常、システムがハッキングされることはありませんが、それでも返信は控えることをお勧めします。返信することで、攻撃者に対してあなたのメールアドレスが有効であることを知らせることになり、その後の攻撃の標的になりやすくなります。不審なメールに返信する前に、必ず差出人の身元を確認してください。

毎日届く何百通ものスパムメールをどうすれば止められますか?

スパムメールの量を減らすには:1) 堅牢なメール認証(DMARC、SPF、DKIM)を導入する、2) 高度なスパムフィルタリングソリューションを利用する、3)スパムメールには絶対に返信しない、4) メールアドレスを公に公開しない、5) 用途ごとに異なるメールアドレスを使用する、6) 包括的な保護のため、PowerDMARCのような専門的なメールセキュリティソリューションの導入を検討する。

PowerDMARCが他のメールセキュリティツールとどう違うのでしょうか?

PowerDMARCは、メール認証、高度な脅威インテリジェンス、予測分析を1つのソリューションに統合したプラットフォームを提供します。他のサービスとは異なり、PowerDMARCは複数のドメインを一元管理できる機能、チーム向けの役割ベースのアクセス制御、24時間365日のグローバルサポートを備えており、複雑なメール環境を管理する企業やMSPにとって理想的なソリューションです。

CTA