フィッシング攻撃は、よく知られている、あるいは信頼できるブランド、製品、あるいは企業を装うことで行われ、多くの場合、受信者を騙して機密性の高いアカウント認証情報を漏洩させることが目的です。セキュリティ企業Armorbloxが分析した最近のフィッシング攻撃はまさにその典型で、攻撃者はZoomを装ってMicrosoftユーザーの認証情報を盗み出そうとしました。
攻撃の仕組み
全国規模のヘルスケア企業の21,000人以上のユーザーを狙ったこのフィッシングメールは、「2022年本日 [受信者名] 宛」という件名で、受信者として各ユーザーの実名が記載されていました。Zoomの名前とロゴが表示され、メール本文には、返信を待っているメッセージが2件あると記載されていました。受信者は、これらのメッセージを読むために、メッセージ本文にあるメインボタンをクリックする必要がありました。
メインボタンをクリックすると、Microsoftのログインサイトを装った偽のランディングページに誘導されます。そのサイトでは、メッセージにアクセスする前に本人確認のためと称してMicrosoftアカウントのパスワードを入力するよう指示されます。ランディングページでは、ユーザー名欄に既に実際のメールアドレスが表示されており、安心感を与えています。当然のことながら、そのページで入力されたMicrosoftのパスワードは攻撃者に盗まれます。
参照:モバイルデバイスのセキュリティポリシー(TechRepublic Premium)
有効なドメインから送信された最初のフィッシングメールは、DomainKeys Identified Mail(DIME)、Sender Policy Framework(SPF)、Domain-based Message Authentication(DMA)のReporting and Conformance(R&D)といった一般的なメール認証チェックを通過したため、Microsoft Exchangeのメールセキュリティ制御を回避しました。しかし、Armorbloxのセキュリティ機能によって、メールはユーザーの受信トレイに届かずブロックされました。
なぜ攻撃はそれほど説得力があったのか
このキャンペーンは、様々なトリックを用いて、疑いを持たないユーザーにその正当性を信じ込ませようとしました。最初の戦術はソーシャルエンジニアリングです。2通のメッセージが返信待ちであるかのように装うことで、メールは受信者の好奇心と緊急性を喚起しようとします。次のトリックはなりすましです。Zoomなどの有名ブランドを装い、Microsoftを待機メッセージへのアクセスの要として利用することで、このキャンペーンは馴染み深さと信頼感を巧みに利用しています。
攻撃者は、正当な信頼できるドメインからメールを送信することで、セキュリティ対策を回避しようとあらゆる手段を講じました。さらに、メールは、メールセキュリティツールや受信者が警戒を怠った場合でも、何の警告も発しないような書き方で作成されていました。
組織をフィッシングから守る方法
このような種類のフィッシング攻撃者から組織と従業員を保護するために、Armorblox は次の推奨事項を提供しています。
追加のツールでネイティブメールセキュリティを補完
レポートで説明されているメールは、Microsoftのセキュリティ対策をすり抜けており、既存のメールセキュリティを、より強力で多層化されたツールで補完する必要があることを示しています。適切な製品を見つけるには、ガートナーの「メールセキュリティ市場ガイド」とArmorbloxの「2022年版メールセキュリティ脅威レポート」をご覧ください。
ソーシャルエンジニアリングの策略に注意
受信トレイに大量のメールが殺到すると、メッセージを精査することを忘れがちです。メッセージにすぐに反応したり返信したりするのではなく、送信者名、送信者メールアドレス、メッセージの言語など、重要な要素をじっくりと確認する必要があります。誤字脱字、誤り、不一致など、疑わしい点がないか確認することが目的です。
適切なパスワード管理を採用する
複数のサイトで同じパスワードを使い回さないでください。1つのアカウントが侵害されると、攻撃者が同じ認証情報を持つ他のアカウントに侵入する手助けをする可能性があります。パスワードの使い回しを防ぎながら、強力で複雑なパスワードを維持するには、パスワードマネージャーを活用するのが最善策です。
多要素認証を使用する
MFA を要求することは、攻撃者が侵害されたアカウント資格情報を使用してサインインできないようにするための最良の方法の 1 つです。
