Bitdefender Labs による新しい調査によると、すべての MS Office アプリケーション (Outlook、Word、Excel、OneNote、および PowerPoint を含む) は、ユーザーを別のアドレスにリダイレクトするための国際ドメイン名 (IDN) ホモグラフ フィッシング攻撃に対して脆弱です。
Bitdefender は、このようなホモグラフ フィッシングを数か月にわたって一貫して観察しており、関連するリスクを回避するための対策を講じるよう企業に強くアドバイスしています。 Bitdefender Labs は 2021 年 XNUMX 月にこの問題を Microsoft に報告し、Microsoft セキュリティ レスポンス センターは結果が有効であることを確認しました。 Microsoft がこの問題を修正するかどうか、またはいつ修正するかはまだ不明です。
IDN ドメインが攻撃のためにスプーフィングされている
実際には、これらの攻撃の可能性は次のことを意味します。 IDN ドメインも、標準の ASCII 文字セットに属さず、ウムラウトまたは特殊文字を含む文字で構成されます。 このドメインは、ユーザーがアクセスしていると考えている元の正当なドメインの完全なマスクになる可能性があります。 定期的に発生するホモグラフ フィッシング攻撃は、キリル文字の「a」とラテン語の「a」など、外見上は同一の文字が、Unicode 標準では異なる文字であるという事実に基づいています。 Unicode 標準は、文字を電子的に格納する方法を指定します。 ラテン語の「a」のコードは「U+0061」、キリル文字の「a」のコードは「U+0430」です。 したがって、IDN「apple.com」にキリル文字の「a」またはキリル文字の「e」を含めることはできません。 それらをクリックした人は、最終的にハードウェア メーカーではなく、ハッカーによって運営および使用される Web サイトにたどり着きます。
たとえば、Word のプレビューでは、正当な Web サイトを指していると思われるホモグラフ IDN が表示されますが、実際には偽の Web サイトを指しています。 正規の Web サイトと偽の IDN は区別がつかず、プレビューしても Office でマスクされたままになるため、悪意のあるリンクをクリックする可能性が大幅に高くなります。
Microsoft Office の間違ったドメインがマスクされたままになる
このアイデアは新しいものではありません。 ただし、Microsoft Office パッケージ全体に影響するようになりました。 Web ブラウザでの IDN ホモグラフ攻撃のリスクが高まっていますが、Bitdefender は、悪意のある IDN が MS Office アプリケーションでマスクされたままであることを発見し、セキュリティを意識したユーザーでさえ間違ったドメインをクリックする可能性を高めています. (図 1-3)。 その後、ブラウザーのビューは悪意のあるサイトのマスクを解除しますが、ほとんどの場合のみです。 さらに、多忙なユーザーや行動の速いユーザーは、ブラウザーでマスクが解除されたことに気付かないか、気付くのが遅すぎて、間違いを犯して、以前に偽装された Web サイトを実際に開いてしまう可能性があります。
Bitdefender がテストした Microsoft Office 以外のアプリケーションの結果はまちまちでした。ユーザーが到達した実際の、つまり悪意のあるアドレスを常に視覚的に表示するものもあれば、同形異義語を表示するものもありました。
Microsoft Office は通常、IDN を Unicode で表示しますが、エスケープされていない ASCII は悪意があります。 (画像:Bitdefender)。
金融機関や仮想通貨取引所を標的に
同形異義語 IDN に基づく攻撃は、実行するのが容易ではありません。 ただし、これらは、Advanced Persistent Threat (APT) を使用して複雑な攻撃を開始したいサイバー犯罪者や、サービスとしてのランサムウェアにとって効果的なツールです。 Bitdefender は、金融機関や仮想通貨取引所に対するなりすましを観察しました。
Bitdefender のセキュリティに関する推奨事項
企業とユーザーは、次の手段で同形異義語 IDN による攻撃から身を守ることができます。
- 意識向上: 企業は、その地位のためにスピア フィッシング攻撃の被害者になる可能性がある従業員の危険性に特に注意を払う必要があります。 この場合、URL とロック アイコンの確認だけでは不十分です。
- Endpoint Protection: Endpoint Detection and Response は、悪意のある Web サイトを検出してブロックします。
- レピュテーション チェック: IP および URL レピュテーション サービスがすべてのデバイスで実行されている必要があります。 経験則: URL が xn-- で始まる場合、その Web サイトは疑わしいものです。
- 企業所有のページでの多要素識別は、そのような攻撃が無駄になり、ハッカーがログイン情報にアクセスできなくなったことを意味します。
- ブラウザーの更新: Web ブラウザーやその他の生産性向上ツールは、常に最新の状態に保つ必要があります。
- サプライ チェーンに注意する: 同形異義語は、サプライ チェーンを介して会社の IT に侵入する可能性があります。 したがって、サプライヤー、顧客、またはパートナーからの文書を確認する必要があります。
- ドメインを広く登録する: 企業は、ビジネスに関連する可能性のあるさまざまな Unicode スペルのすべてのドメインを認識する必要があります。 そうすれば、ハッカーはこれらのページを独占できなくなります。 IDN は XNUMX つの Unicode 文字セットに制限されているため、可能な組み合わせと登録する Web サイトの数は制限されます。 Bitdefender Labs は、すべての潜在的なスプーフィング ドメインを事前に登録している企業はほとんどないことを発見しました。
Bitdefenderについて Bitdefender は、サイバーセキュリティ ソリューションとウイルス対策ソフトウェアのグローバル リーダーであり、500 か国以上で 150 億を超えるシステムを保護しています。 2001 年の設立以来、同社のイノベーションは、優れたセキュリティ製品と、デバイス、ネットワーク、およびクラウド サービスのインテリジェントな保護を、個人の顧客や企業に定期的に提供してきました。 最適なサプライヤーとして、Bitdefender テクノロジは、世界で展開されているセキュリティ ソリューションの 38% で使用されており、業界の専門家、メーカー、および顧客から信頼され、認められています。 www.bitdefender.de