- 攻撃者は侵害されたGMXメールアカウントを使い、OAuthの罠を仕掛けた偽のMicrosoft Teams招待を送信
- 被害者が悪意のあるAzure Webアプリを認可すると、メールやファイル、アカウントへの永続的なアクセス権を与えてしまう
- Abnormal AIは警告:送信者の確認、リンクの検査、緊急性の高い会議招待に注意を
詐欺師たちは被害者に偽のMicrosoft Teamsの会議招待を送り、ログイン認証情報を盗み、Microsoft 365エコシステム全体への永続的なアクセスを狙っていると、専門家は警告しています。
サイバーセキュリティの専門家であるAbnormal AIは、最近この攻撃キャンペーンを実際に観測したと述べています。攻撃は侵害されたGMXメールアカウントから始まります。これはドイツ発の無料の一般向けメールサービスで、1つのアカウントから最大10個の送信者アドレスを作成できます。
侵害されたアカウントは、企業の人事部から送られてきたかのように装った詐欺メールの送信に利用されます。これらのメールは自動通知メールのように見せかけ、Teamsのブランドを使用しています。
アクセスを狙うフィッシング
よく使われる手口は以下の通りです:
「今すぐ会議に参加」という大きなアクションリンク
会議IDとパスコードのセクション
本物のTeams招待を模した偽の「主催者」セクション
被害者がこの罠にかかり、リンクをクリックすると、訪問者にOAuth認可を求め、Microsoftアカウントへの権限付与を促す侵害されたAzure Webアプリにリダイレクトされます。犯罪者はこのWebアプリが本物であるかのように「出席確認 – 会議リクエスト」とタイトルを付けて偽装しています。
この悪意のあるWebアプリにアクセス権を与えると、サインイン、プロフィールの閲覧、パスワード変更後もアクセス維持、メールやメールデータへのアクセス、メール送信、ファイルの窃取などの権限を与えてしまいます。
研究者によると、GMXが選ばれた理由は、攻撃者が新たなインフラを構築せずに簡単に身元を切り替えられるため、攻撃準備の時間を短縮できるからだと考えられています。
GMXが選ばれたもう一つの理由は、メッセージがSPF、DKIM、DMARCの検証を通過し、受信者の受信箱に届くためです。Abnormalによれば、これは「異例の技術的正当性」だとしています。
フィッシング対策の最善策は、クリックする前に一度考えることです。送信者のメールアドレスを確認し、リンクにカーソルを合わせて不審なリダイレクトを見抜き、緊急性の高いメールには警戒しましょう。
