KnowBe4 Threat Labsのチームは、Microsoft 365ユーザーを世界的に標的とし、認証情報を盗む新たな高度なフィッシングキャンペーンを発見しました。KnowBe4が「Quantum Route Redirect」と名付けたこの強力な新フィッシングキットは、8月初旬に最初に発見されました。Quantum Route Redirectは、事前に設定されたセットアップとフィッシング用ドメインが付属しており、かつて技術的に複雑だったキャンペーンの流れを大幅に簡素化し、技術力の低いサイバー犯罪者にも“フィッシングの民主化”をもたらしています。主にMicrosoft 365ユーザーを標的としていると考えられています。
参入障壁の排除
Quantum Route Redirectは、洗練されたフィッシングキャンペーンを実行する際の技術的障壁を取り除く複数の機能を備えています。自動的に人間と自動化されたトラフィック(ボット)を区別する行動検知や、手動介入なしで訪問者を振り分けるインテリジェントなルーティングを使用しています。また、被害者の位置情報、デバイスの種類、ブラウザ情報など包括的なデータを直感的な形式で表示するシンプルな分析ダッシュボードも提供します。さらに、リアルタイムモニタリングによってキャンペーンのパフォーマンスや成功指標が表示されるため、運用者は専門的な技術知識を必要としません。
KnowBe4によると、このPhishing-as-a-Service(PhaaS)プラットフォームは、セキュリティツールと本物のユーザーを識別し、前者は正規のウェブサイトへ、後者はフィッシング版へと振り分けることができます。この手法により、URLスキャナーや一部のWebアプリケーションファイアウォールを回避することが可能です。また、リダイレクトルールや設定・ルーティングロジックを管理する設定パネル、トラフィック分析を表示するモニタリングダッシュボード、自動的に訪問者を振り分けるインテリジェントなトラフィックルーティング、被害者の位置情報・デバイス種類・ブラウザ情報などの詳細を示す分析ダッシュボードなど、技術力の低いサイバー犯罪者をサポートするユーザーフレンドリーな機能も含まれています。
攻撃の実行方法
ターゲットの視点から見ると、これらのキャンペーンは通常、フィッシングメールから始まります。攻撃者は、被害者の関与を最大化するために様々なテーマや戦術を用いて広範囲にメールを送信します。これにはDocuSignやその他の契約プラットフォームのなりすまし、給与関連の詐欺、偽の支払い通知、偽の「不在着信」メッセージ、QRコードフィッシング(クイッシングとも呼ばれる)などが含まれます。
ハイパーリンクが最初に有効化されるとき、つまりセキュリティツール(ボット)によるスキャンや人間によるクリックのいずれかの場合、そのリクエストはQuantum Route Redirectによって傍受され、処理のために送信されます。プラットフォームの中央ルーティングエンジンは、すべての受信トラフィックを分析し、行動分析を用いてボットと人間をインテリジェントに区別します。分類器およびルーターの役割を果たし、各リクエストの適切な宛先を決定します。
トラフィックがボットからのものであると識別された場合、安全なURLへリダイレクトされ、実際のフィッシングサイトへのアクセスが防がれます。これにより、悪意のあるインフラがセキュリティスキャナーによって露呈するのを防ぎ、他の検知メカニズムでブロックされない限り、本物のユーザーがメールとやり取りする可能性が高まります。一方、訪問者が人間であると認識された場合、実際のフィッシングウェブサイトへとリダイレクトされ、攻撃者はMicrosoft 365の認証情報を収集しようとします。
Quantum Route Redirectシステムは、これらのキャンペーンを運用するサイバー犯罪者向けに管理者アクセスも提供しており、リダイレクトルールや設定・ルーティングロジックを管理する設定パネル、キャンペーンのパフォーマンスを評価するためのトラフィックデータなどの分析を提供する訪問者統計ダッシュボードという、2つの効率的な管理インターフェースを備えています。
グローバルな影響
このキャンペーンは90か国以上で被害者を出しており、驚異的な国際的広がりを示しています。これまでのところ、米国が被害者の76%を占めており、残りの24%は世界中に分布しているため、この脅威の範囲は真にグローバルであると言えます。
組織は何をすべきか?
KnowBe4は、セキュリティチームに対し、さまざまな防御策を組み合わせた多層防御戦略の実施を推奨しています。これには、自然言語処理(NLP)や自然言語理解を用いたメール内容の分析、URLやペイロードの分析、ドメインやなりすまし検出、ポリモーフィック検出技術の活用が含まれます。サンドボックスを利用して疑わしいメールを検査し、継続的な監視によってアカウント侵害の可能性を特定します。高度な行動分析、製品テレメトリ、脅威インテリジェンスを備えたヒューマンリスク管理(HRM)プラットフォームは、個別のリスクスコアを生成し、パーソナライズされたユーザー教育を可能にします。さらに、メール脅威インテリジェンスを活用して全社的な教育活動を実施し、被害者の隔離やアクセス遮断、デジタルフォレンジック調査を迅速に行うインシデント対応手順を整備することが重要です。
