隠されたテキストでセキュリティをすり抜けるメールソールティング攻撃の手口

隠されたテキストでセキュリティをすり抜けるメールソールティング攻撃の手口

スパム対策をすり抜ける隠しテキストの脅威

2025年2月13日
著者: Yunes Tarada
翻訳: 古川 綾乃

この記事はPowerDMARCのブログ記事 Email Salting Attacks: How Hidden Text Bypasses Security の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

最近Web上で広まりつつある新たなメールベースの脅威が、メールソールティング攻撃です。
この高度なサイバー攻撃は、隠されたテキストを利用してスパムフィルターやセキュリティ対策を回避します。
Cisco Talosによる最近の報告によると、隠されたテキストのソールティングは懸念が高まっており、Wells FargoやNorton LifeLockのようなブランドになりすましたフィッシングキャンペーンが、検出メカニズムを回避することを可能にしています。

重要なポイント

  1. メールソールティング攻撃は、サイバー犯罪者がメール内に隠されたテキストを挿入してスパムフィルターを回避する脅威です。
  2. 攻撃者は、隠しテキストのソールティング、ベイズ汚染、メールヘッダーソールティングなど、さまざまな手法を用いてこれらの攻撃を実行します。
  3. メールソールティングは、検出の回避や、フィッシングメール、ランサムウェア、ビジネスメール詐欺、ソーシャルエンジニアリング攻撃の配信を助長する可能性があります。
  4. 将来的には、高度なフィルタリング技術やビジュアルコンテンツ分析技術が、これらの攻撃を軽減する可能性があります。
  5. 当面の対策としては、DMARCのようなメール認証プロトコルを導入して、全体的なメールセキュリティを強化することが重要です。

メールソールティング攻撃とは何か?

メールソールティング攻撃では、脅威アクターがメール内に隠しテキストを挿入し、スパムフィルターやメールセキュリティの仕組みを回避しようとします。
しかし、ソールティングという行為自体が常に悪意を持つものとは限りません。

従来のソールティングは、パスワードをランダム化することで、パスワードのセキュリティを強化する効果的な手法です。
メールソールティング攻撃の手法は、安全なソールティング手法とは異なり、メールの内容を欺瞞的に操作する点で区別されます。

攻撃者は、メールソールティングの手法を以下の目的で使用します。

メールソールティングで使用される手法

1.隠しテキストのソールティング
この手法では、攻撃者がメール内に隠された、あるいは難読化されたテキストを挿入します。
これらの不可視メッセージには、以下のような種類があります。
  • キーワードベースのフィルターを回避するために、単語の中に挿入される不可視のUnicode文字(ゼロ幅文字)。
  • display:nonefont-size:0といった一見無害なコマンドを使って悪意のあるテキストを隠すために、CSSプロパティが簡単に操作されること。
  • 白い背景に白い文字で書かれたテキストは肉眼では判別できず、見えないようにする簡単な方法として、悪意のあるコードやテキストを隠すことが可能です。
2.ベイズ汚染

このメールソールティング攻撃手法では、攻撃者が悪意あるメールにランダムまたは無害な単語を挿入し、ベイズ型スパムフィルターを回避します。
ベイズフィルターは、ベイズ確率に基づいてスパムメールと正当なメールを識別します。

攻撃は、スパムと判断されにくい、あるいは悪意がないと思われる単語を巧妙に挿入することで、フィルターを操作し回避することを目的としています。
これにより、ベイズフィルターはそのメールの内容を安全と判断し、通過させてしまいます。

3.メールヘッダーソールティング
攻撃者は、メールの「Reply-to」や「Return-path」フィールドに冗長または誤解を招く情報を挿入し、メールヘッダーを改変することができます。
これにより、悪意のあるメールが検出を回避したり、より正当なものに見せかけたりすることが可能になります。
4.Unicodeホモグリフ攻撃
攻撃者は、見た目にはよく似ているが異なる文字にメールの内容を置き換えることができます。
例えば、「m」を「rn」に置き換えることで、スパム検出フィルターの回避が可能となる一方で、より正当なものに見せかけることができます。

最近のメールソールティング事例と傾向

2024年後半から2025年初頭にかけて、メールソールティング攻撃の件数が急増しました。
最近では、Cisco Talosが、隠しテキストのソールティング技術を用いてセキュリティフィルターを回避するフィッシングキャンペーンの急増を発見しました。
これにより、著名なブランドになりすました攻撃が行われ、被害者が機密情報を漏らす事態が発生しました。

Cisco Talosの研究者は、サイバー犯罪者がメールセキュリティを回避するために使用している巧妙な手口を明らかにしました。
彼らは、メール内のHTMLやCSSを操作し、要素の幅をゼロに設定したり、display: hiddenを使用してメッセージの一部を隠したりしています。

また、ゼロ幅スペース(ZWSP)のような不可視文字を挿入して、実際の内容を隠します。
これにより、スパムフィルターやセキュリティツールが混乱し、本来スパムフォルダに振り分けられるはずのフィッシングメールが、受信トレイに届いてしまうのです。

メールセキュリティへの影響

メールソールティング攻撃は、メールセキュリティおよびドメインの評価に重大なリスクをもたらします。
これらの攻撃は、以下のような深刻な影響を及ぼす可能性があります。

1.フィッシング
メールソールティングはフィッシング攻撃を容易にし、悪意のあるメールが被害者の受信箱に届く確率を高めます。
2.ランサムウェア
不正なメッセージが通過してしまうことにより、メールソールティング攻撃はランサムウェアの拡散を引き起こす可能性があります。
3.ソーシャルエンジニアリング
メールソールティングはソーシャルエンジニアリングの手法も容易にし、従業員が詐欺に対してより脆弱になります。

メールソールティング攻撃の緩和戦略

1.高度なフィルタリング

メールソールティングの悪用に対処するうえで、より高度なフィルタリング機構の開発は画期的な対策となり得ます。
これらの機構は、隠されたテキストや異常なHTML構造を検出する能力を備える必要があります。
セキュリティチームは、メールソールティング攻撃を緩和するために、より高度なテキスト解析の仕組みを考案する必要があります。

2.AIと機械学習

AIの進歩により、メールソールティングの脅威を緩和する未来は明るいものになると期待されています。
AI駆動のツールは、メールソールティング攻撃の傾向を特定するのに役立つ可能性があります。
PowerDMARCの「予測型脅威インテリジェンス分析」はその一例で、さまざまなタイプのメール脅威パターンを監視・予測するのに役立ちます。

3.視覚的コンテンツ分析

メールセキュリティツールは、メール内の隠されたメッセージを検出するために、視覚的コンテンツ分析を取り入れることで大きな恩恵を受けることができます。
サイバー犯罪者がメールソールティング攻撃を行うために隠しテキストを挿入するため、視覚的分析はこれらの不可視な異常を検出する有効な手段となります。

まとめ

メールソールティング攻撃は、最近発見された新たなメールの脅威の一つに過ぎず、今後もさらに多くの脅威が増加することが予想されます。
メール全体のセキュリティを強化することは、全体的な安全性向上への重要な一歩となります。
ドメイン名を将来に備えて保護することで、次なる大規模なデータ漏洩やサイバー攻撃からブランドを守ることができます。

ドメインに DMARC、SPF、DKIMを実装し、なりすましからメールを保護しましょう。
これらの認証プロトコルは、ドメインセキュリティを強化し、さまざまなメールベースのサイバー攻撃を防ぐための優れた第一歩となります。
今すぐ無料のDMARCトライアルにお申し込みください。