大手ブランドの求人詐欺、マーケティング担当者のGoogleアカウントを狙う

3 Min Read

求人・採用求人をテーマにしたフィッシングキャンペーンが、正規のプラットフォームを悪用し、大手企業ブランドになりすますことで、マーケティング専門職の人々からGoogleの認証情報を騙し取ろうとしています。

Team Cymruのシニア脅威インテリジェンスアドバイザーであるWill Thomas氏が最初に発見したこのキャンペーンでは、Coca-Cola、Louis Vuitton、McKinsey & Company、Netflix、OpenAI、FIFAといった大手ブランドがマーケティング専門職を募集しているかのように装って求人担当者になりすましています。

Thomas氏はこの活動の詳細をまとめたGitHubの投稿の中で、「このメールは対象者の氏名を明記しており、しかもその人物は該当分野で実際に働いているため、攻撃者はおそらく事前に関連する調査と情報収集を行ったとみられる」と述べています。

昨今、求人を誘い文句に使うフィッシングキャンペーンは非常に多く見られます。Malwarebytesのマルウェアインテリジェンス研究者であるPieter Arntz氏は、本日公開した関連のブログ記事の中で、こうしたキャンペーンが効果を発揮しやすい理由として、「新卒・未経験者向けのポジションは依然として競争が激しく、しかもAIの台頭が雇用市場のあり方を変え続けている」ことを挙げています。

このキャンペーンが注目される理由はもう一つあります。正規のプラットフォームを悪用し、多重リダイレクトを含む複数の手法を駆使することで、フィッシングリンクを信頼できるドメインに見せかけ、検知を回避している点です。

企業向けプラットフォームを悪用した多重リダイレクト

Thomas氏の投稿には、McKinsey & Companyを騙る、説得力のあるフィッシングメールの実例が掲載されています。このメールには偽の面接予定を組ませるための「view calendar & schedule call」リンクが含まれており、クラウド型の人事管理プラットフォームであるPeopleForce経由で送信されています。

標的となった人物がこのリンクをクリックすると、一見正規に見えるドメイン(この例ではmckinsey-careers[.]com)へ誘導されますが、実際にはこれは攻撃者が管理するフィッシングリンクです。しかし被害者候補には見えていない部分があります。実際にはフィッシングリンクにたどり着くまでに、複数の中継地点を経由させられているのです。これは「多重リダイレクト」と呼ばれる手法です。

このキャンペーンでは、被害者はまずSalesforce傘下のExactTargetのドメインへ送られ、続いて不動産業界向けCRMプラットフォームであるWise Agentへ即座にリダイレクトされ、最終的にクラウドサービスプラットフォームのNetlify上でホストされたフィッシングサイトへとたどり着きます。

Arntz氏はDark Readingの取材に対し、この手法が最終的なフィッシングリンクの検知を減らすうえで効果的だと語っています。「正規サービスを経由する多重リダイレクトは、被害者に信頼感を植え付けることを狙ったものであり、メールの最初のリンクに含まれるドメインしか見ない単純なWebフィルター(つまりメールフィルター)を回避できてしまう」と同氏は述べています。「またこの手法により、チェーンのどこかが遮断されたり検知されたりした場合でも、その部分だけを頻繁にローテーションさせることができる」ということです。

このキャンペーンの背後にいる脅威アクターが、リダイレクトチェーンに含まれる正規プラットフォームをどのように悪用しているのかは明らかになっていません。無料トライアルアカウントや有料アカウントを単純に利用している可能性もあれば、他の顧客からアカウントの認証情報を盗んでいる可能性も考えられます。

求人詐欺型フィッシング攻撃への対策

被害者候補が最終的にフィッシングリンクにたどり着くと、偽のGoogleサインインウィンドウが表示されます。Thomas氏によれば、これはおそらくブラウザ・イン・ザ・ブラウザ(BitB)と呼ばれる手法によって生成されたものだといいます。この手法では、攻撃者は本物らしく見えるURLまで含めた、一見正規に見えるポップアップウィンドウを作り込みますが、実際にはそれは既存のページに組み込まれたHTMLに過ぎません。

McKinsey & Companyを騙るリンクに関するURLScan.ioの解析によれば、このドメインは6月29日に作成されたもので、悪意のある可能性があるとしてフラグが立てられています。またAbuseIPDBによると、このドメインのIPアドレスは過去1年間で様々な悪意ある活動に関して数十回もフラグを立てられているとのことです。

Thomas氏の投稿では、企業のURLになりすました悪意あるドメインが30件以上リストアップされており、そのうち4件はFIFA関連のものでした。

Arntz氏は、求人絡みのフィッシングキャンペーンがどれほど効果を上げているかを正確に把握するのは難しいとしながらも、もし効果がなければ脅威分析者がこれほど多くの事例を目にすることはないはずだと指摘しています。また同氏は、大手ブランドを利用することが効果的な誘い文句として実証されているとも述べています。

「ブランドが大きければ大きいほど、そしてなりすましが巧妙であればあるほど(AIの助けを借りれば非常に説得力のあるものに仕上げられる)、標的がリンクをたどってしまう可能性は高くなる」とArntz氏は述べています。

従業員向けのソーシャルエンジニアリング研修は不審なメールを見抜く助けにはなりますが、組織がこうしたキャンペーンを回避するために取れる対策は他にもあります。Arntz氏は、レピュテーションベースのフィルタリングは多重リダイレクトに対してはしばしば効果が不十分になるため、組織はより効果的なWebフィルタリングを導入する必要があると指摘しています。さらに同氏によれば、パスワードマネージャーも有効だといいます。パスワードマネージャーは、本来意図されていないWebサイト上で認証情報が自動入力されるのを防いでくれるためです。

翻訳元: https://www.darkreading.com/cyberattacks-data-breaches/big-brand-jobs-scam-marketing-pros-google-accounts

ソース: darkreading.com