Google Gmail Phishing

概要

エクサフォースはGmailと連携し、ユーザーから報告されたフィッシングメールを、単発のアラートから包括的なセキュリティ調査へと変換します。各メールは、リンク解析、送信者レピュテーション、受信者の挙動、クリックトラッキングによって自動的にエンリッチされ、セキュリティチームが正規メールとフィッシングキャンペーンを迅速に判別できるよう支援します。また、メール脅威をエンドポイント侵害や認証情報の不正使用などと関連付けた完全な攻撃タイムラインを構築します。

さらに、フィッシングレポートをアイデンティティのアクティビティ、エンドポイントの挙動、ネットワークインテリジェンスと相関分析することで、誰が悪意のあるリンクをクリックしたのか、クリック後に何が起きたのか、そしてそのインシデントが単発のソーシャルエンジニアリングなのか、より広範な侵害の一部なのかを明らかにします。

仕組み

エクサフォースは、ネイティブの報告機能およびセキュリティワークフローを通じて、ユーザーが報告したフィッシングをGmail上で継続的に監視します。メールがフラグ付けされると、メッセージのメタデータ、ヘッダー、送信者情報、埋め込みリンクおよび添付ファイル、受信者リスト、配信タイムスタンプが自動的に取り込まれます。これらのテレメトリはリアルタイム分析で即座にエンリッチされ、接続されたシステム全体のアクティビティと相関付けられます。

各報告メールに対して、エクサフォースはすべてのURLを抽出・追跡し、実際の遷移先を特定する包括的なリンク解析を実行します。ドメインやIPを脅威インテリジェンスデータベースと照合し、URLの難読化、リダイレクト、クローク技術を特定するとともに、認証情報窃取ページ、マルウェア配布サイト、フィッシングキットを検出します。また、メール配信タイムスタンプと、その後のブラウザアクティビティ、認証試行、統合されたセキュリティツールで可視化されるエンドポイント挙動を相関させることで、どの受信者がリンクをクリックしたかを追跡します。

送信者レピュテーション分析では、SPF、DKIM、DMARCなどのメール認証結果を参照し、送信元IPをAbuseIPDBなどのレピュテーションソースと照合します。また、なりすましドメインや類似ドメインを特定し、同一インフラを利用した過去の攻撃キャンペーンも可視化します。これらの多層的なエンリッチメントは、フィッシング報告から数秒以内に自動実行され、アナリストに脅威の深刻度と必要な対応を即座に提示します。

主な機能

メールのエンリッチメントとリンク解析

メッセージヘッダーを解析して認証失敗や不審な経路を特定し、埋め込みリンクを抽出・デトネーションして遷移先や多段リダイレクトを可視化します。また、添付ファイルを解析し、悪意のあるマクロ、実行ファイル、エクスプロイトを検出します。

被害ユーザーの特定とクリックトラッキング

メール配信とその後のユーザーアクティビティを相関分析し、悪意のあるリンクをクリックした受信者や、操作後に見られるアカウント侵害の兆候、さらに侵害された可能性のある認証情報による操作を特定します。

送信者レピュテーションとインフラ分析

各報告メールについて、脅威インテリジェンスソースに基づく悪用履歴を確認し、メール認証の失敗やドメインなりすましを評価します。また、同一インフラを用いた過去の攻撃キャンペーンと相関分析を行います。

自動トリアージ

エクサフォースのトリアージエンジンは、送信者パターン、リンク遷移先、メッセージ内容、組織コンテキストを評価し、脅威指標と業務コンテキストに基づいて「要調査」「正常」「誤検知」に分類します。

攻撃チェーンの相関分析

フィッシングレポートを、不審なサインイン、エンドポイント検知、アカウント乗っ取りを示すクラウドAPIアクティビティ、通常と異なる横展開などの下流アクティビティと関連付けます。

メリット

エクサフォースは、リンク解析、送信者レピュテーション、被害ユーザー追跡による自動エンリッチメントにより、フィッシングのトリアージ時間を短縮します。また、メール脅威をエンドポイント、アイデンティティ、クラウドのアクティビティと統合タイムラインで相関させることで調査を高度化します。さらに、どのユーザーがフィッシングに関与し、どのような操作を行ったかを特定することで、的確な対応を可能にします。