スパムメールを防ぐために、企業は多くの スパムブロック ソリューションとスパムフィルターなどをメールサーバーと連動させるのが一般的です。しかし、それでもスパムブロックソリューションに破って入ることは少なくありません。
攻撃者はスパムメールのブロックソリューションを破るためによく知られている大手企業の公式メールサービスを利用したり、悪性リンクの検知および添えたファイルのチェックしたりするなど、スパムブロックソリューションの検知ロジックを巧妙に避けながら悪性メールを送ります。その場合、スパムフィルターを連動させたにもかかわらず、ユーザーの受信箱に悪性メールが受信されます。しかし、その頭の痛い問題もIPインテリジェンスを活用すれば相当な部分を補完できます。今度の投稿では、IPインテリジェンスで迷惑メールのブロックソリューションを破って入る悪性メールの問題を補完する方法やケースを紹介します。
スパムブロック ソリューションをバイパスするフィッシング攻撃のIPを追跡する方法
次のように企業メールに受信された迷惑メールがあります。このメールは韓国のDaumというメールサービスを使ったためSPF問題などは発生せず、添付ファイルにはマルウェアが含まれてはいるが、スパムブロック ソリューションをバイパスしてユーザーの受信箱まで入った状態です。
スパムメールのブロックソリューションを破って入ったフィッシングメール
メールを送った攻撃者の情報を確かめるためにメールのヘッダーを調べてみました。
メールヘッダーの内容を説明することはこの投稿の目的ではないので詳しい説明は省略しますが、メールヘッダーの分析技術を知らない素人もGoogleで「email header analyzer」などを検索するとウェブですぐヘッダーを探すhttps://mxtoolbox.com/のようなサイトが多いです。
次の画像はメールヘッダー分析システムで調べたヘッダーの内容です。
スパムメールのブロックソリューションをパイバスした攻撃メールのヘッダー情報
ヘッダーの内容の中でX-Originating-IPという項目には、メールを作成した人のIPアドレスが記されます。つまり、もしハッカーがこのメールを送ったとしたら、ハッカーがメール送信ボタンを押したPCのIPアドレスであろうと推測できます。
IPインテリジェンスで分析したスパムメール攻撃のIPアドレス
Criminal IP(https://www.criminalip.io/ja)でこのIPアドレスを見てみると、サーバーは台湾に位置付けられていました。しかし、メールでは中国語や台湾語を一切使わず、メールの内容も海外企業に就職しようとする内容のようには見えません。
何よりも疑わしいのは、このIPアドレスで稼働されているサービスです。確かにTCP/443ポートでサービスが稼働されていて、このポートはHTTPSをサービスした方がより正常な状況に見えます。でも、下の画像のように、このIPアドレスはTCP/443ポートでOpenVPNを稼働していることがわかります。追加分析では、privateinter*.comという商用VPNサービスから提供されるIPアドレスだと確認されます。
https://www.criminalip.io/ja/asset/report/188.214.106.93
IPインテリジェンス検索エンジン、Criminal IPで追跡した
スパムメール攻撃 IPの情報、台湾にあるVPNサーバーと確認される
スパム攻撃IPアドレスのインテリジェンス分析の結果、
TCP 443ポートでVPNが稼働をしている
ちなみに、次の画像は通常のTCP/443 HTTPSプロトコルのバナー結果です。
通常のTCP/443ポートのHTTPSプロトコルのバナー結果
TCP/443ポートでOpenVPNプロトコルを実行する理由
OpenVPNプロトコルを443ポートで稼働する理由は次の通りです。
企業や公共機関でVPNアクセスをする場合、従業員が内部情報を流出する可能性があり、マルウェアが暗号化するトラフィックを逃せるという理由で内部セキュリティデバイスでこのVPNのアクセスをブロックします。しかし、このようなOpenVPNポートが本来のUDP/1194ポートではなく、TCP/443ポートに送られるとアクセスを許可する場合が多いです。アウトバウンドTCP/443をブロックすると、その企業の従業員全員はネットサーフィン自体ができなくなってしまうからです。
したがって、いくつかの商用VPNでは、OpenVPNなどのプロトコルをTCP/443ポートに稼働しておく場合が多いです。このように違うポートにVPNを稼働しておくと、一般のIoT検索エンジンはVPNサービスを稼働したIPアドレスで検知せず、一般のIPアドレスに認識します。アクセスブロックのためにVPN IPアドレスを検知する場合にもレーダー網を避けられます。 スパムブロック ソリューションをバイパスした攻撃で悪性メールを送ったIPアドレスもそれと関係があると見られます。
スパムメール攻撃 のケース分析結果
- ある企業に履歴書を送る際、台湾のVPNを使った
- OpenVPNを使うこのVPNポートは、UDP/1194ではないTCP/443を使っていた
- 一般的ではないポートを使った点で、IPアドレスのバイパスが目的なのは確かである
スパムブロック ソリューションをバイパスした攻撃、IPインテリジェンスで補完する方法
従って、IPインテリジェンスの観点からみると、次のような補完戦略を立てられます。
スパムメールのブロックソリューションのバイパス攻撃を補完する方法
- スパムブロック ソリューションまたはスパムフィルターと連動できるプラグインでVPN IPアドレスを検知できるIPインテリジェンスシステムと連動する。
- メールが送信されると、ヘッダーでX-Originating-IPを調べる、そのIPアドレスをIPインテリジェンスシステムに連動・検査する。
- X-Originating-IPに記載されたIPアドレスがVPN IPアドレスと判明されると、該当メールをスパムとして診断する。
- VPNが異常なポート番号で設定されていると、加重を付けて検知する。
- VPN以外にもTor IPアドレス、ホスティングIPアドレス、評判があまりよくないIPアドレスかを同時に検知する。
ちなみに、X-Originating-IPフィールドはメールのサーバーによってこのフィールドを省略することも多いので(ちなみにGmailはこのフィールドを記録しません。)、この戦略がスパムメールに対する完璧なセキュリティ問題の解決ではありません。しかし、このような検知ロジックでコードを作成し、スパムメールのブロックソリューションと連動させておくと、既存のソリューションを破って入る攻撃をかなりのレベルで検知できる優れた補完財に使えます。
IPアドレス基盤の脅威インテリジェンス検索エンジンCriminal IPは、上述したインテリジェンス補完ができるOpen API連動を提供します。Criminal IPのアカウント登録 (https://www.criminalip.io/ja/register) の後、検索エンジンプラットフォームで直接検索またはマイページのAPIキーをコピーして素早く連動することができ、大量のAPI Callを必要とする企業顧客にはカスタマイジングおよび呼び出し数のオーダーメイドも提供しています。
企業および公共機関のサイバーセキュリティにOSINTやIPインテリジェンスの導入が必要な理由と実際の攻撃に対するIP追跡・分析の内容は、OSINTで予防できたかもしれない仮想通貨採掘のマルウェアに感染した政府サーバーのケースの投稿 をご参照ください。
さらに多様なCriminal IPの活用ケース閲覧をご希望の方は、Criminal IPの営業チームにお問い合わせください。
0コメント