脅威アクターは、従来のビジネスメール詐欺(BEC)によるサイバー攻撃に新たな手口を加えました。これはBEC 3.0と呼ばれ、Dropboxのような正規のウェブサービスに仕掛けられたフィッシング攻撃です。
チェック・ポイント・ソフトウェア傘下のアヴァナンは、この攻撃ファミリーの最近の事例を追跡している。この事例では、ハッカーが無料のDropboxアカウントを作成し、認証情報を入手したり、採用候補者の履歴書など、一見正当で文脈上関連のある文書にマルウェアを隠したりしていた。
セキュリティ企業の調査によると、この攻撃は、攻撃者がDropbox経由で誰かの履歴書のPDFファイルを共有することから始まった。標的となったユーザーは、「Dropboxに追加」しない限り、その文書を閲覧できない。Dropboxからのリンクは正規のものに見えたため、この脆弱性の発見はより困難だった。
フィッシング攻撃には次の手順が含まれます。
- まず、ユーザーは Dropbox からの履歴書への正当な通知にあるリンクをクリックし、ファイル共有サービスでホストされているページにアクセスします。
- ユーザーは、文書を閲覧するためにメールアカウントとパスワードを入力する必要があります。つまり、脅威アクターはメールアドレスとパスワードにアクセスできることになります。
Dropbox でホストされているこのページでは、ユーザーはドキュメントを表示するためにメール アカウントとパスワードを入力するよう求められ、脅威の攻撃者にユーザー認証情報を渡してしまうことになります。
ユーザーが認証情報を入力すると、偽のMicrosoft OneDriveリンクに誘導されます。このリンクをクリックすると、悪意のあるダウンロードが実行されます。
「ハッカーがBEC攻撃を数多く行っているのを目撃しています」と、アバナンのサイバーセキュリティ研究者兼アナリストであるジェレミー・フックス氏は、今回の攻撃に関する報告書の中で述べています。「こうした攻撃にはいくつかのバリエーションがありますが、一般的には幹部やパートナーになりすまして、エンドユーザーに望まない行動(例えば、請求書を間違った相手に支払うなど)を取らせようとするのです」とフックス氏は言います。
参照: DNS を狙った新たなマルウェア隠蔽攻撃(TechRepublic)
「正規のウェブサイトを利用して悪意のあるコンテンツをホストすることは、受信トレイに侵入する確実な方法です」と彼は述べた。「ほとんどのセキュリティサービスは、送信元(今回の場合はDropbox)を確認し、正当なものであると判断してメッセージを受け入れます。なぜなら、メッセージが正当なものだからです」と彼は付け加えた。
アヴァナン氏は、こうしたステルス攻撃を防ぐには、Dropbox内の悪意のあるファイルや文書内のリンクをスキャンすること、メール本文や添付ファイル内のリンクを置き換えることなど、複数の防御策が必要だと述べています。フックス氏によると、こうしたソーシャルエンジニアリング攻撃への対策の鍵は文脈です。「履歴書は通常Dropbox経由で送信されますか?そうでない場合は、元の送信者に連絡して再確認する必要があるかもしれません。もしそうであれば、さらに一歩踏み込んでください。Dropboxにログインする際、メールアドレスで再度ログインする必要がありますか?」
アヴァナン氏によると、研究者らは5月15日にDropboxに連絡を取り、この攻撃と研究について知らせたという。
Linktreeは認証情報を取得するためにも使用されました
今月初め、アヴァナンはInstagramやTikTokなどのサイトでホストされているソーシャルメディア参照ランディングページ「Linktree」を利用した同様のハッキングを発見しました。Dropboxへの攻撃と同様に、ハッカーは正規のLinktreeページを作成し、そこに悪意のあるURLをホストして認証情報を盗み出していました。
アヴァナン氏によると、攻撃者は標的に対し、ファイルが共有されたという偽のMicrosoft OneDriveまたはSharePoint通知を送信し、ファイルを開くよう指示しました。最終的に、ユーザーは偽のOffice 365ログインページにリダイレクトされ、そこで認証情報の入力を求められます。そして、そこで認証情報が盗まれます。
「ユーザーはこう考えるべきです。『なぜこの人はLinktree経由で私に文書を送ってくるのだろう?』と。おそらく、そうではないでしょう。メールやプロセスが論理的かどうかを理解することは、セキュリティ意識の一部なのです」とフックス氏は述べた。
このような場合、当社は受信者に次のことを提案します。
- メールに返信する前に必ず送信者のアドレスを確認してください。
- ファイルの配信に使用されている媒体が一般的なものかどうかを一度考えてみます。
- ページにログインするときは、URL を再確認して、Microsoft のサイトか、他の正当なサイトかを確認してください。
正規サイトを悪用したBEC攻撃が今年増加する可能性
フックス氏は、攻撃を受けたユーザーがBECの脆弱性を突かれるような明白な視覚的な手がかりは存在しないと述べた。「Dropboxのページにサインインすれば、OneDriveのロゴとリンクが表示されるはずです」と彼は述べた。「鋭い観察力を持つユーザーなら、この矛盾に気付き、『なぜ1つのページに2つの競合するサービスが存在するのか?』と考えるはずです」と付け加えた。
彼は、こうした攻撃がエスカレートすると予測した。「合法的な人気サービスであれば、どんなものでも、この種の悪意ある活動を実行するための手段として利用される可能性があります。だからこそ、近い将来、この攻撃が急増すると予想しています」と彼は述べ、このエクスプロイトは数万回も利用されていると付け加えた。「今年後半には、この攻撃が本格的に増加すると考えています」と彼は述べた。
