どのようなしくみか
大量のカスタマイズされたフィッシングメッセージで、たいていの場合、標的型攻撃をまねて、大量に届いたメッセージには見えないよう意図されています。 攻撃者は、大量マーケティングキャンペーンに使用されるアプローチを活用し、数百万件もの類似点のないメッセージを生成します。 メールの内容、件名、送信者のIPアドレス、送信者のメールアカウントおよびURLをローテーション使用できるメール生成コードとインフラストラクチャでこれを行います。 つまり、どの組織でも10~50通までのメールは似通っており、悪意のあるメールがスパムやコンテンツをスキャンするすべてのシステムのレーダーにかからずに行きかうことを意味します。 一般に、添付ファイルがないものは、アンチウイルスソリューションまたは他のシグネチャーベースのソリューションに検知される可能性を最小化できます。 さらに、複数のIPアドレス、送信者のメールアカウント、キャンペーンに使用されるURLは、通常正規のものですが、セキュリティ侵害があったものです。
このことが「高い」レピュテーションという特徴をメールに与え、レピュテーションベースで検知するアプローチを回避する助けとなってしまいます。 検知までの時間を引き延ばすために攻撃者は、セキュリティ侵害のあったサイトが「多形」マルウェアをユーザーのマシンに確実に配信するようにします。 各ユーザーが固有のバージョンのマルウェアを受信します。これは基本的に、攻撃の検知が始まるにつれ作成される新しいシグネチャーの価値を無効化します。 どうしたら守れるでしょうか? コンテンツの巧妙さとロングライニング攻撃でよく見られるインフラストラクチャーのセキュリティ侵害を考え合わせると、こうした脅威に立ち向かうにはビッグデータ駆動型セキュリティソリューションを活用するのがより効果的でしょう。 そうしたソリューションは、シグネチャーとレピュテーションのコントロールだけに頼るべきではありません。 ソリューションとして目標にすべきは、過去のトラフィックに基づいてパターンを探し、新しいトラフィックをリアルタイムで分析して、クラウドベースの高度なマルウェア検知サービスで何を分析すべきか予測することです。
複数の企業を同時に標的にする大量カスタムキャンペーンを特定できるソリューションを探し、全体にわたってパターンを形成する固有の特徴を拾い出して、こうした脅威に対し積極的にサンドボックスを使用します。これにより、パターンを悪意あるものとして公表することが検知をより多く成功させる助けとなります。 さらに、セキュリティソリューションには、滞りなく配信されるメッセージを管理するためのアプローチがなければなりません。 ロングライニングでは通常一分間に80万通を超えるメッセージを攻撃することができ、その多くがユーザーに届きます。 セキュリティソリューションは、そうしたメッセージ内のあらゆるURLを書き換え、疑わしいURLには予測的にサンドボックスを使用することができなくてはなりません。高度なマルウェア検知で遷移先のウェブサイトが悪質であると確認された場合、受信者が悪意のあるウェブサイトに行くのを阻止するためです。 これが、クリーンアップや修復に必要となる手間を最小限にとどめる助けとなります。