脆弱な DMARC セキュリティ・ポリシーを悪用、北朝鮮スピアフィッシング詐欺

　アメリカ国家安全保障局（National Security Agency：NSA）は現地時間5月2日、米連邦捜査局（FBI）および米国務省とともに「北朝鮮の攻撃者は弱いDMARCセキュリティ・ポリシーを悪用して、スピアフィッシングの取り組みを隠蔽する」を発表した。

　同報告書には、北朝鮮のサイバープログラムと過去の情報収集事例に関する背景、強力なDMARCポリシーがどのように北朝鮮の攻撃者をブロックするのに役立つかの説明、悪意のある活動のレッドフラッグ指標、北朝鮮のサイバー攻撃者が使用する2つの電子メールのサンプルと緩和策が含まれている。

　米国政府および民間のサイバーセキュリティ企業では現在、大規模なソーシャル・エンジ ニアリング・キャンペーンを実施している北朝鮮のサイバー攻撃者の特定集団をKimsuky、Emerald Sleet、APT43、Velvet Chollima、Black Bansheeとして追跡している。Kimsukyは、北朝鮮のRGB（偵察総局）の一要素である63rd Research Centerの管理上の下部組織で、少なくとも2012年以降に、RGBの目的を支援する広範なサイバーキャンペーンを実施している。

　Kimsuky 攻撃者は、侵害に成功することで、より信頼性が高く効果的なスピアフィッシングメールを作成し、より機密性が高く価値の高いターゲットに対し活用することができる。

　北朝鮮のサイバー攻撃者は、標的を欺くために作られたメールを使用するスピアフィッシングのようなソーシャルエンジニアリングのテクニックを、侵害を開始し、標的のデバイスやネットワークにアクセスするための主要なベクトルとして利用している。Kimsukyのスピアフィッシング ・キャンペーンでは、価値のある潜在的な標的を特定するためにオープンソースの情報を活用し、標的にとって現実的で魅力的に見えるようにカスタマイズされたオンラインペルソナを作成するなど、広範な調査と準備から始まる。

　Kimsukyのサイバー攻撃者は、説得力のあるメール・メッセージに加え、シンクタンクや高等教育機関を含む信頼できる組織の個人になりすまし、メール受信者との信頼関係を構築するために、偽のユーザー名を作成し、正当なドメイン名を使用することを確認している。なりすましメールは、信頼できる組織の実際のドメインからではなく、攻撃者が管理するメールアドレスとドメインから送信されるが、懐疑的な受信者が送信者が正当かどうかを確認したくても、受信者のメール応答は、信頼されたドメインのなりすましメールアドレスに送り返されてしまう。メールヘッダの「reply-to」セクションには、北朝鮮の攻撃者が管理するメールアドレスとドメインが表示されるが、それでも合法的に見えるという。

　FBI、米国国務省、NSAでは、DMARCセキュリティポリシーのサイバーセキュリティ態勢を改善するために、CISAと 米国標準技術局（NIST）が策定したCPG（Cross-Sector Cybersecurity Performance Goals）に沿って、メールのセキュリティについてはDMARCを有効にしてポリシーを「隔離（quarantine）」または「拒否（reject）」に設定することで、脅威を軽減することを推奨している。また、組織のドメインから送信されたとされるメールメッセージのDMARC結果に関する集計レポートを受け取るために、「rua」などの他のDMARCポリシーフィールドを設定することを推奨している。