Last Updated on 2024-07-04 04:57 by admin
北朝鮮のハッカーグループ、Kimsuky(APT 43、Thalliumとしても知られる)が、弱いDMARCポリシーを悪用して、金正恩政権にとって戦略的に重要な個人を狙ったフィッシング攻撃で組織を偽装している。DMARC(Domain-based Message Authentication, Reporting & Conformance)は、メールベースの攻撃を防ぐためのセキュリティプロトコルである。FBIと国家安全保障局は共同で、Kimsukyがこの手法を利用していると警告するサイバーセキュリティアドバイザリーを発表した。
Kimsukyの主な目的は、地政学的な出来事や他国の外交政策戦略などに関する貴重な情報を盗むことである。この目的のために、ジャーナリスト、シンクタンク、政府機関などを狙ったサイバー攻撃を行っている。攻撃の正当性を高めるために、信頼できる組織の個人を偽装した高度にターゲットを絞ったメールを送信することがある。
DMARCは、送信者のIPアドレスが指定されたドメインからメールを送信することが認証されているかをチェックするSender Policy Framework(SPF)と、公開鍵暗号を使用して改ざんを防ぐDomainKeys Identified Mail(DKIM)の2つの認証メカニズムを組み合わせる。ドメイン所有者は、DMARCレコードをドメイン名システム(DNS)設定に設定し、これらのチェックのいずれかにメールが失敗した場合に何をするかを決定できる。
FBIとNSAは、組織が自分たちのドメインからメールを送信する脅威アクターを防ぐために、p=rejectまたはp=quarantineを選択することを提案している。DMARCの適切な設定とSPF/DKIMの適切な管理は、フィッシングや組織の偽装を防ぐための効果的な手段である。
【ニュース解説】
北朝鮮のハッカーグループであるKimsukyが、DMARC(Domain-based Message Authentication, Reporting & Conformance)というセキュリティプロトコルの弱い設定を悪用して、重要な個人を狙ったフィッシング攻撃で組織を偽装しているという警告が、FBIと国家安全保障局から発表されました。DMARCは、メールに基づく攻撃を防ぐために設計されたプロトコルで、送信者のIPアドレスがメールを送信するために認証されているかどうかをチェックするSender Policy Framework(SPF)と、公開鍵暗号を使用してメールの改ざんを防ぐDomainKeys Identified Mail(DKIM)の2つの認証メカニズムを組み合わせています。
このニュースの背景には、Kimsukyが地政学的な出来事や他国の外交政策戦略に関する情報を盗むことを目的としているという事実があります。彼らは、ジャーナリストやシンクタンク、政府機関などをターゲットにしており、信頼できる組織の個人を偽装することで、その攻撃の正当性を高めています。
DMARCの設定は、ドメイン所有者が自分のDNS設定にレコードを設定することで行われます。このレコードによって、メールがSPFやDKIMのチェックに失敗した場合の対応が決定されます。FBIとNSAは、組織が自分たちのドメインからの不正なメール送信を防ぐために、p=reject(拒否)またはp=quarantine(隔離)の設定を推奨しています。
この問題の解決には、DMARCの適切な設定と、SPFおよびDKIMの管理が重要です。これらは、フィッシングや組織の偽装を防ぐための効果的な手段となります。しかし、DMARCが全てのセキュリティ問題を解決するわけではなく、ハッカーは他にも多くの手段を持っています。そのため、DMARCの設定だけでなく、継続的な監視や報告、セキュリティ対策の総合的な強化が必要です。
このニュースからわかるように、DMARCのようなセキュリティプロトコルの適切な設定と管理は、サイバーセキュリティの基本であり、組織が自身を守るためには欠かせない要素です。特に、国家レベルのサイバー攻撃が増加している現在、組織は自身のセキュリティ対策を見直し、強化することが求められています。
from DPRK's Kimsuky APT Abuses Weak DMARC Policies, Feds Warn.
