Technique - T1566-

T1566 - Phishing

概要

Adversaries may send phishing messages to gain access to victim systems. All forms of phishing are electronically delivered social engineering. Phishing can be targeted, known as spearphishing. In spearphishing, a specific individual, company, or industry will be targeted by the adversary. More generally, adversaries can conduct non-targeted phishing, such as in mass malware spam campaigns.

Adversaries may send victims emails containing malicious attachments or links, typically to execute malicious code on victim systems. Phishing may also be conducted via third-party services, like social media platforms. Phishing may also involve social engineering techniques, such as posing as a trusted source, as well as evasive techniques such as removing or manipulating emails or metadata/headers from compromised accounts being abused to send messages (e.g., Email Hiding Rules).(Citation: Microsoft OAuth Spam 2022)(Citation: Palo Alto Unit 42 VBA Infostealer 2014) Another way to accomplish this is by Email Spoofing(Citation: Proofpoint-spoof) the identity of the sender, which can be used to fool both the human recipient as well as automated security tools,(Citation: cyberproof-double-bounce) or by including the intended target as a party to an existing email thread that includes malicious files or links (i.e., "thread hijacking").(Citation: phishing-krebs)

Victims may also receive phishing messages that instruct them to call a phone number where they are directed to visit a malicious URL, download malware,(Citation: sygnia Luna Month)(Citation: CISA Remote Monitoring and Management Software) or install adversary-accessible remote management tools onto their computer (i.e., User Execution).(Citation: Unit42 Luna Moth)

管理者によるコメント

T1566「Phishing」（フィッシング） は、ユーザーを騙して悪意のある活動（マルウェアの実行、認証情報の提供など）を行わせるために、不正なメッセージを送信する初期侵入手法です。

1. 概要

この手法で攻撃者は、「人間の心理的隙（ソーシャルエンジニアリング）を突いた組織内への侵入」を実現します。

何を実現できるのか

初期アクセスの獲得: ユーザーにファイルを開かせたり、リンクをクリックさせたりすることで、技術的な防御壁（ファイアウォールなど）を内側から突破します。
認証情報の窃取: 偽のログインページに誘導し、ID、パスワード、時にはMFAコードまでもリアルタイムで盗み取ります。
標的型攻撃の起点: 組織内の特定の人物を狙い、その権限を奪うことで、より深い層への攻撃（横展開）を開始します。

2. 攻撃の流れ（主なサブテクニック別）

フィッシングは、その対象や配信手段によって以下の3つのサブテクニックに分かれます。

Spearphishing Attachment (T1566.001):
- 特定の個人や組織を狙い、マルウェアを仕込んだファイルをメールに添付します（請求書、履歴書などを装う）。
Spearphishing Link (T1566.002):
- 特定の個人を狙い、悪意あるサイトやログイン詐欺ページへのリンクをメール本文に含めます。
Spearphishing Service (T1566.003):
- メールではなく、SNS（LinkedIn, Facebook）やビジネスチャット（Slack, Teams）のメッセージ機能を利用して接触します。

3. 防御・対策

技術的な「検知」と、人間の「教育」という両輪の対策が必要です。

メールフィルタリング (SEG): 不審な送信元、添付ファイル、URLをAIやサンドボックスで動的に解析し、エンドポイントに届く前に隔離します。
多要素認証 (MFA) の導入: パスワードが盗まれても、物理的なセキュリティキーやプッシュ通知による承認がなければログインできないようにします。
DMARC/SPF/DKIM の設定: 自社ドメインのなりすましを防ぎ、正規の送信元からのメールであることを証明する仕組みを導入します。
フィッシング訓練と教育: 従業員が怪しいメールの共通パターン（急かす文面、不自然な日本語、リンクURLの乖離など）に気づけるよう、定期的な訓練を実施します。

4. 重要ポイント

「信頼」の武器化: 知人や取引先、IT部門などの「信頼されている送信者」を装うことで、ユーザーの警戒心を無効化します。
検知回避の進化: パスワード付きZIPファイルの使用や、クリックするまで正体がわからないリダイレクトURLの使用など、セキュリティ製品の目をかいくぐる手法が日々進化しています。

5. 関連する主なCWE

CWE-287: Improper Authentication: フィッシングで盗んだ情報による不正ログイン。
CWE-451: User Interface (UI) Misrepresentation: ユーザーを欺くために、正規サイトと寸分違わぬ偽のUIを表示させる問題。

6. 関連する代表的なCVE

フィッシング自体は「騙し」の行為ですが、リンクをクリックしたりファイルを開いたりした際に、以下の脆弱性が悪用されることが多いです。

CVE-2017-11882 / CVE-2021-40444: Microsoft Officeの脆弱性。添付ファイルを開くだけでコードが実行される。
CVE-2022-30190 (Follina): 文書内のプレビュー機能を悪用し、外部からスクリプトを呼び出す脆弱性。
CVE-2023-23397: Outlookの脆弱性。メールを閲覧（プレビュー）するだけで、ユーザーの認証情報を盗み取ることが可能。

実務上のヒント

フィッシングは、攻撃者が「最も安価で、かつ最も成功率が高い」と考える手法です。どれだけ高価なセキュリティ製品を導入しても、最終的には「一人のユーザーのクリック」が組織全体の侵害に繋がるため、エンドポイント保護（EDR）による「侵入後の早期検知」が極めて重要になります。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design