Trusted Design

T1192 - Spearphishing Link

概要

Spearphishing with a link is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of links to download malware contained in email, instead of attaching malicious files to the email itself, to avoid defenses that may inspect email attachments.

All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this case, the malicious emails contain links. Generally, the links will be accompanied by social engineering text and require the user to actively click or copy and paste a URL into a browser, leveraging User Execution. The visited website may compromise the web browser using an exploit, or the user will be prompted to download applications, documents, zip files, or even executables depending on the pretext for the email in the first place. Adversaries may also include links that are intended to interact directly with an email reader, including embedded images intended to exploit the end system directly or verify the receipt of an email (i.e. web bugs/web beacons). Links may also direct users to malicious applications designed to Steal Application Access Tokens, like OAuth tokens, in order to gain access to protected applications and information.(Citation: Trend Micro Pawn Storm OAuth 2017)

管理者によるコメント

T1192「Spearphishing Link」（スピアフィッシング・リンク） は、特定の個人や組織を標的にし、悪意のあるウェブサイトへ誘導するためのリンクを含んだメールなどを送りつける、極めて成功率の高い初期侵入手法です。

1. 概要

この手法で攻撃者は、「標的ユーザーを騙して、攻撃者が制御するサイトへアクセスさせること」を実現します。

何を実現できるのか:

• 認証情報の窃取（クレデンシャル・フィッシング）: 本物そっくりのログイン画面（Microsoft 365やVPNなど）を表示させ、IDとパスワードを入力させる。
• マルウェアの配信: サイトを訪れた瞬間に脆弱性を突く（T1189: ドライブバイ攻撃）か、あるいは偽のインストーラー等をダウンロードさせて実行させる。
• 初期アクセスの獲得: 盗んだ情報やインストールしたマルウェアを踏み台にして、組織の内部ネットワークへ侵入する。

2. 攻撃の流れ

「スピア（槍）」の名が示す通り、標的に合わせて高度にパーソナライズされています。

1. 標的の調査 (Reconnaissance): SNS（LinkedInなど）や企業サイトから、ターゲットの氏名、役職、業務内容、使用しているサービスを特定します。
2. ルアー（誘い）の作成: ターゲットがクリックせざるを得ない内容のメールを作成します。
   • 例：「未払いの請求書について」「IT部門からのパスワード更新通知」「共有された重要ドキュメント」
3. リンクの難読化・偽装: リンク先が怪しいドメインであることを隠します。
   • 短縮URL: bit.ly などを使用。
   • タイポスクワッティング: micro-soft.com のような似たドメイン。
   • ハイパーリンクの偽装: 表示テキストは正規のURLだが、リンク先（href）は攻撃サイト。
4. 送信と実行: ターゲットがリンクをクリックし、遷移先のサイトで情報を入力するか、ファイルをダウンロードすることで侵害が完了します。

3. 防御・対策

技術的なフィルターと、人間の判断力の両面での対策が必要です。

• メールセキュリティ製品の導入: URLのリライト（書き換え）機能や、サンドボックスによるリンク先の動的解析を行い、危険なメールを隔離します。
• 多要素認証 (MFA) の徹底: パスワードを盗まれても、MFAがあれば不正ログインを食い止めることができます（FIDO2などのフィッシング耐性のある方式が望ましい）。
• 不審なドメインのブロック: 新規に取得されたドメインや、評判の悪いドメインへのアクセスをプロキシやDNSレベルで遮断します。
• 従業員のトレーニング: 実際の事例に基づいたフィッシング訓練を行い、違和感（送信元アドレスの微妙な違いなど）に気づく能力を高めます。

4. 重要ポイント

• 「信頼」の悪用: 取引先や上司を装うことで、心理的な隙を突きます。
• T1193（添付ファイル型）との違い: 添付ファイル（T1193）はアンチウイルスで検知されやすいですが、リンク（T1192）は単なる「テキスト」であるため、セキュリティ製品をすり抜けやすい傾向にあります。

5. 関連する主なCWE

• CWE-287: Improper Authentication: 盗んだ認証情報による不正ログインを許してしまう問題。
• CWE-451: User Interface Misrepresentation of Critical Information: 本物そっくりの偽画面（UI）でユーザーを欺く問題。

6. 関連する代表的なCVE

T1192は「騙し」の技術であるため、直接CVEを突くものではありませんが、リンクをクリックした後のプロセスで以下の脆弱性が悪用されることがあります。

• CVE-2021-40444: MSHTML（IEエンジン）の脆弱性。リンクをクリックして開いたOffice文書やサイトから、コード実行を引き起こす。
• CVE-2023-23397: Microsoft Outlookの脆弱性。リンクをクリックしなくても、特定の細工されたメールを受信するだけで認証情報を盗まれるケース（スピアフィッシングの進化系）。
• APT攻撃グループの利用: APT28、APT29、Lazarusなどの主要なグループは、ほぼ例外なくこの手法を最初の侵入手段として採用しています。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

関連する CVE

• CVE-2014-4114
• CVE-2015-5119
• CVE-2015-5122
• CVE-2015-1770
• CVE-2012-1856
• CVE-2015-2545
• CVE-2014-6332
• CVE-2015-5897
• CVE-2015-7645
• CVE-2017-0199
• CVE-2017-12149
• CVE-2015-3043
• CVE-2015-3456
• CVE-2015-3090
• CVE-2010-1553
• CVE-2015-3113
• CVE-2015-2424
• CVE-2015-0097
• CVE-2015-4495
• CVE-2012-0158
• CVE-2014-1761
• CVE-2015-2502
• CVE-2014-6271
• CVE-2015-8562
• CVE-2015-7808
• CVE-2012-1889
• CVE-2016-1010
• CVE-2016-1019
• CVE-2016-0984
• CVE-2016-1001
• CVE-2016-0998
• CVE-2015-1641
• CVE-2015-0313
• CVE-2015-0359
• CVE-2014-0329
• CVE-2015-5130
• CVE-2015-5134
• CVE-2015-5539
• CVE-2015-5557
• CVE-2015-5563
• CVE-2015-5559
• CVE-2015-5540
• CVE-2015-5561
• CVE-2015-5551
• CVE-2015-5564
• CVE-2015-5565
• CVE-2015-5550
• CVE-2015-5566
• CVE-2015-5127
• CVE-2015-5556
• CVE-2012-4969
• CVE-2016-1287
• CVE-2015-6585
• CVE-2015-7261
• CVE-2015-6022
• CVE-2015-8286
• CVE-2016-1562
• CVE-2016-2342
• CVE-2016-2343
• CVE-2017-0261
• CVE-2017-0262
• CVE-2016-6532
• CVE-2016-9495
• CVE-2025-55182
• CVE-2015-0311
• CVE-2013-3906
• CVE-2014-6352
• CVE-2010-3333
• CVE-2012-4792
• CVE-2014-0322
• CVE-2015-0336
• CVE-2014-7911
• CVE-2015-3105
• CVE-2014-0497
• CVE-2014-8361
• CVE-2017-17215
• CVE-2013-0074
• CVE-2014-8439
• CVE-2013-2551
• CVE-2010-0188
• CVE-2014-0569
• CVE-2014-0515
• CVE-2012-4681
• CVE-2014-1776
• CVE-2014-0556
• CVE-2012-1876
• CVE-2015-5560
• CVE-2012-2539
• CVE-2014-9163
• CVE-2014-8440
• CVE-2010-0806
• CVE-2010-1297
• CVE-2010-2884
• CVE-2013-7331
• CVE-2014-4148
• CVE-2011-3402
• CVE-2010-2883
• CVE-2013-0634
• CVE-2014-7247
• CVE-2012-5054
• CVE-2013-2678
• CVE-2015-2426
• CVE-2010-4398
• CVE-2013-0641
• CVE-2013-0640
• CVE-2014-3393
• CVE-2009-3129
• CVE-2010-2572
• CVE-2011-1255
• CVE-2011-0611
• CVE-2013-5990
• CVE-2017-8570
• CVE-2012-0611
• CVE-2015-2419
• CVE-2016-0189
• CVE-2016-4117
• CVE-2017-0143
• CVE-2025-24893
• CVE-2025-54313
• CVE-2025-55183
• CVE-2025-55184

攻撃手法 – 脅威アクター Graph

---

← Technique一覧に戻る ← Tactics一覧に戻る