米国の組織では、メールフィッシング攻撃が頻繁に発生していますが、ボイスメールフィッシングはそれほど一般的ではありません。Zscalerの最新レポートでは、2022年5月に開始された、Office 365メールボックスの有効な認証情報の収集を目的とした新たな攻撃スキームが明らかになりました。
すべてはメールから始まる
この攻撃キャンペーンでは、選択された標的にメールが送信されます。このメールは新しいボイスメールの通知であり、添付ファイルを開くとボイスメールを聞くことができます(図A)。
図A
メールの差出人欄は細工されています。図Aでは、Zscalerの従業員を標的としているため、Zscalerという名称が付けられています。
添付ファイルは難読化されたJavaScriptコードを含むHTMLファイルで、ユーザーを攻撃者が管理するURLにリダイレクトします。このURLは、標的の組織名と、標的の従業員のメールアドレスをエンコードしたものを含む一定の形式に従っています(図B)。
図B
URL の末尾にエンコードされた電子メール アドレスがない場合、ユーザーは Microsoft Office の Wikipedia ページまたは Microsoft Office Web サイトにリダイレクトされます。
この URL は、Google reCaptcha からのキャプチャをユーザーに対して表示する 2 番目の URL につながります。
参照:パスワード侵害:ポップカルチャーとパスワードが混ざらない理由(無料PDF)(TechRepublic)
ユーザーが正しいキャプチャ情報を入力すると、最終コンテンツである Office 365 フィッシング ページが表示されます (図 C )。
図C
ターゲティング
研究者たちは、このフィッシングキャンペーンに関連するURLをテレメトリで収集し、URLに基づいて標的組織を特定することに成功しました。このフィッシングキャンペーンの標的は、米軍、セキュリティソフトウェア開発会社、セキュリティサービスプロバイダー、医療・製薬会社、そして製造・輸送のサプライチェーン組織であると示唆しています。
攻撃者の最終目的は依然として不明です。サイバー犯罪者は、企業の特定のメールボックスへのアクセスを取得したり、企業ネットワーク全体への足掛かりを得て、さらなる詐欺行為やサイバースパイ活動を展開しようとしている可能性があります。
新しいフィッシング詐欺ではないが、効果的
KnowBe4のセキュリティ意識啓発活動家、Erich Kron氏は次のようにコメントしています。
ボイスメール通知は新しいアプローチではありませんが、日常業務の一部である通知に溶け込む傾向があるため、依然として非常に効果的です。他の多くのフィッシング攻撃とは異なり、今回の攻撃は標的ごとに攻撃がカスタマイズされるため、より多くの調査と労力を必要とします。攻撃が成功すれば、ユーザー名とパスワードが盗まれますが、これはメールアカウントへのアクセスが可能であることに加え、ユーザーが他のシステムでパスワードを使い回す傾向があることから、追加の労力をかけるだけの価値があると言えるでしょう。
このような事態を防ぐために、従業員はフィッシング攻撃を見分けて報告する方法、そしてブラウザのURLバーをチェックして認証情報を入力しているウェブサイトが正規のものであることを確認する方法について研修を受ける必要があります。多要素認証の活用も、こうしたケースで非常に役立ちます。
標的型ボイスメールフィッシングから身を守る方法
このようなコンテンツを検出、ブロック、警告するには、包括的なメールセキュリティソリューションを活用する必要があります。難読化されたJavaScriptで構成されたHTMLファイルを含むメールは、直ちに警告を発する必要があります。
インターネットに接続するすべてのサービスやウェブサイトには、多要素認証を設定する必要があります。多要素認証を導入しておけば、たとえ攻撃者が有効なログインIDとパスワードを入手できたとしても、適切な多要素認証が実装されていれば、サービスに接続することはできません。これは、インターネット接続サービスの中で最も標的となりやすいVPNアクセスやウェブメールサービスにおいて特に重要です。
システムとソフトウェアは、攻撃者が標的の企業に最初の足掛かりを得るために使用する一般的な脆弱性に陥るのを防ぐために、常に最新の状態に保たれ、パッチが適用されている必要があります。
フィッシングや詐欺に対する従業員の意識向上も重要です。また、ユーザーは疑わしいメールをIT部門に報告し、分析してもらうための簡単な方法も必要です。
開示:私はトレンドマイクロに勤務していますが、この記事で述べられている意見は私自身のものです。
