※本記事にはアフィリエイトリンクが含まれます。詳しくはプライバシーポリシー・広告掲載についてをご覧ください。
フィッシングメールやSNSメッセージに含まれる悪意あるリンクをクリックしてしまう——これはサイバー攻撃で最も一般的な侵入経路の一つです。MITRE ATT&CKではT1204.001 Malicious Linkとして分類されており、あらゆる規模の攻撃で利用されています。本記事では、悪意あるリンクの手口、実際の攻撃事例、検出方法と対策を日本語で詳しく解説します。
※本サイトはMITRE ATT&CK®の非公式日本語解説サイトです。Based on MITRE ATT&CK® v16。
ATT&CK情報
| ATT&CK ID | T1204.001 |
| Tactic | Execution(実行 / TA0002) |
| 対応バージョン | ATT&CK v16 |
| 対応プラットフォーム | Windows / macOS / Linux |
| 親テクニック | T1204 User Execution |
概要
T1204.001は、T1204 User ExecutionのSub-techniqueです。攻撃者はソーシャルエンジニアリングを使って、ユーザーに悪意あるリンクをクリックさせます。リンク先では、マルウェアのダウンロード、認証情報の窃取ページへの誘導、ブラウザエクスプロイトの実行など、さまざまな攻撃が行われます。
悪意あるリンクは、フィッシングメール(T1566.002 Spearphishing Link)、SNSメッセージ、Webサイト上の広告、QRコード(クイッシング)、SMS(スミッシング)など多様な経路で配信されます。攻撃者はURL短縮サービス、オープンリダイレクト、正規ドメインの悪用、ホモグラフ攻撃(見た目が似た文字の使用)など、リンクの正当性を偽装する技術を駆使します。
日本国内でも、Amazonやヤマト運輸、銀行を騙るフィッシングリンクが大量に流通しており、IPA(情報処理推進機構)への相談件数は年々増加傾向にあります。
攻撃シナリオ例
APT28(Fancy Bear)— OAuth認証情報の窃取
ロシア系のAPT28は、Google/Microsoftのログインページを精巧に模倣したフィッシングサイトへのリンクを標的型メールで配信します。リンクをクリックしたユーザーは正規のログインページと区別できないサイトに誘導され、OAuth認証情報を入力してしまいます。窃取された認証情報はメールの閲覧・クラウドデータへのアクセスに利用されます。
国内事例 — ECサイト・宅配便を装うフィッシング
日本では以下のパターンが頻出しています:
- Amazon/楽天を装うメール: 「アカウントが停止されました」等の緊急メッセージで偽ログインページへ誘導し、クレジットカード情報を窃取
- 宅配便不在通知SMS(スミッシング): 「お荷物をお届けできませんでした」というSMSのリンクから偽サイトへ誘導し、マルウェアをインストールまたは認証情報を窃取
- QRコード(クイッシング): 偽の駐車場料金支払いQRコードや、正規ポスターに貼り付けた偽QRコードで悪意あるサイトへ誘導
ドライブバイダウンロード
攻撃者は悪意あるリンクの先に、ブラウザの脆弱性を突くエクスプロイトキットを仕込んだサイトを配置します。ユーザーがリンクをクリックしてページを表示するだけで、バックグラウンドでマルウェアがダウンロード・実行されます。この手法ではユーザーの追加操作が不要なため、特に危険度が高くなります。
検出方法
メールセキュリティ
- URLレピュテーション検査: メール内のURLをリアルタイムで脅威インテリジェンスDBと照合
- リンク書き換え(URL Rewriting): メール内リンクをセキュリティゲートウェイ経由に書き換え、クリック時にリアルタイム検査
- 送信元認証(SPF/DKIM/DMARC): なりすましメールの検出
Webプロキシ・DNS
- Webフィルタリング: カテゴリベースのURLフィルタリングで未分類・新規ドメインへのアクセスを制限
- DNS Sinkhole: 既知のフィッシングドメインをDNSレベルでブロック
- SSL/TLS検査: HTTPS通信の中身を検査し、暗号化された悪意ある通信を検出
エンドポイント監視
- ブラウザからの不審なプロセス起動: ブラウザプロセス→ダウンロード→実行のチェーンを監視
- ダウンロードフォルダの監視: 実行ファイル(.exe, .msi, .js, .vbs等)のダウンロード後即時実行を検知
緩和策(Mitigations)
| ID | 緩和策名 | 概要 |
|---|---|---|
| M1031 | Network Intrusion Prevention | メールゲートウェイ・Webプロキシでフィッシングリンクをブロック |
| M1017 | User Training | フィッシングリンクの見分け方と報告手順を定期訓練で教育 |
| M1021 | Restrict Web-Based Content | Webフィルタリングで未分類・新規ドメインへのアクセスを制限 |
| M1047 | Audit | メール内リンクのクリック率を定期的に監査し、訓練効果を測定 |
実務での推奨対策
- メールリンク書き換え: Microsoft Defender for Office 365のSafe Links、Proofpoint URL Defenseなどを導入し、クリック時にリアルタイムURL検査を実施
- 多要素認証(MFA)の必須化: フィッシングで認証情報が窃取されても、MFAにより不正ログインを防止
- FIDO2/パスキーの導入: フィッシング耐性のある認証方式の導入を検討(フィッシングサイトでは認証が成立しない)
- 定期的なフィッシング訓練: GoPhish等のツールで定期的にフィッシングシミュレーションを実施
- 報告文化の醸成: 不審なメールの報告ボタン(Outlookアドイン等)を設置し、報告を評価する文化を作る
関連するSub-techniques
T1204.001はT1204 User ExecutionのSub-techniqueです。同じ親テクニックに属する他の手法:
- T1204.002 — Malicious File: 悪意あるファイルを開かせて実行させる手法
- T1204.003 — Malicious Image: 悪意あるコンテナイメージ等を実行させる手法
攻撃チェーンにおける関連テクニック
- T1566.002(Spearphishing Link): メール経由で悪意あるリンクを配信する手法(Initial Access)
- T1059(Command and Scripting Interpreter): リンク経由でダウンロードされたペイロードがスクリプトを実行
おすすめセキュリティ対策ツール
本記事で紹介した対策を実施するうえで役立つ製品をご紹介します。
🛡️ まず今日から始めるなら:エンドポイント保護ソフトの導入
攻撃者が悪意あるリンクを使用する場合、Webフィルタリング機能を持つエンドポイント保護が有効な緩和策となります。
- ESET(イーセット) ※PR — 軽量・企業向け実績あり
- ウイルスバスター ※PR — 日本語サポート充実・国産
- Norton(ノートン) ※PR — 世界最大手・VPN機能付き
※ 上記はアフィリエイトリンクです。料金・機能は各公式サイトで必ずご確認ください。
まとめ
- T1204.001 Malicious Linkは、悪意あるリンクをクリックさせてマルウェア実行や認証情報窃取を行う手法である
- フィッシングメール、SMS、QRコードなど多様な配信経路があり、URL偽装技術も高度化している
- メールリンク書き換え、Webフィルタリング、MFA必須化が有効な技術的対策
- 定期的なフィッシング訓練と報告文化の醸成が、組織全体の耐性を高める
参考文献
Based on MITRE ATT&CK® v16, © The MITRE Corporation. Licensed under Apache License 2.0.
本ページは非公式翻訳・解説です。正確な情報はMITRE公式サイト(https://attack.mitre.org/)をご参照ください。
コメント