脅威アクターが、SharePoint、DocuSign、その他の電子署名サービスを装った大規模なフィッシングキャンペーンを展開し、ユーザーに偽の金融文書を開かせることを狙った悪意あるメールを4万通以上送信しました。
チェック・ポイントの研究者によって明らかにされたこのキャンペーンは、攻撃者がどれほど容易に信頼されたファイル共有プラットフォームを模倣し、認証情報を盗み、不正取引を開始できるかを浮き彫りにしています。
「攻撃者は、企業がSharePointや電子署名ツールのようなプラットフォームの中で業務を行っていることをよく理解しているため、フィッシングメールを信頼されたワークフローに見せかけることで、即座に優位に立てるのです」と、Check Point Softwareのグローバル・ヘッド・オブ・マネージド・サービスであるDave Meister氏は述べています。
同氏はさらに、「デジタルプロセスがより自動化されるにつれ、こうした詐欺はさらに高速で拡大し、人間の懐疑心をすり抜け、組織が迅速な業務遂行のために依存しているシステムそのものを悪用するようになっています」と付け加えました。
文書ワークフロー産業が標的に
メールは依然として最も一般的な初期侵入経路であり、契約書、請求書、金融文書に大きく依存するセクターは、特に説得力のあるなりすまし攻撃に対して脆弱な状態が続いています。
このキャンペーンは、米国、欧州、カナダ、APAC、中東の6,100を超える組織を標的としました。その多くは、コンサルティング、テクノロジー、不動産、ヘルスケア、金融、政府など、日々の業務の中心に文書ワークフローがある業界です。
攻撃者はMimecastのセキュアリンク書き換え機能を悪用し、すべての悪意あるURLをmimecastprotect[.]com経由でルーティングしました。このドメインは、多くのユーザーやフィルタから暗黙のうちに信頼されています。
この煙幕により、悪意あるリンクはユーザーの受信トレイ上では正当なものに見えつつ、自動防御をすり抜けることができました。
メール自体も、本物のSharePointや電子署名通知に似せて作り込まれていました。
攻撃者は、Microsoftのロゴ、書式設定の慣例、ヘッダー、Review Document(文書を確認)といった標準的なコールトゥアクションボタンをコピーしました。
また、「X via SharePoint (Online)」や「eSignDoc via Y」といった表示名を偽装し、正規サービスの命名パターンを模倣しました。
関連するDocuSign風のバリアントでは、別のリダイレクト手法が用いられ、Bitdefender GravityZoneおよびIntercomのクリックトラッキングサービスを経由する形になっていました。
主な攻撃とは異なり、このバリアントではトークン化されたリダイレクトの背後に最終的なフィッシング先を完全に隠しており、検知、ブロック、調査をさらに困難にしています。
見えているのに気づかれないフィッシング攻撃
このキャンペーンは、フィッシングにおけるより広範なトレンドを示しています。すなわち、攻撃者は悪意あるメッセージに信頼性を持たせるため、正規のインフラにますます依存するようになっているということです。
オープンリダイレクト、セキュアリンク書き換えサービス、信頼されたSaaSブランドを利用することで、敵対者は通常ユーザーに危険を知らせる視覚的・技術的な手がかりを減らしています。
悪意あるリンクが既知のセキュリティツールでラップされて表示されるため、経験豊富なユーザーであっても疑問を抱くのをためらう可能性があります。
また、CVEやソフトウェアのエクスプロイトが関与していない一方で、攻撃者はソーシャルエンジニアリングと欺瞞を武器に、認証情報の窃取や不正アクセスを達成します。こうした手法は、業界を問わずフィッシングキャンペーンの成功を支え続けています。
フィッシング防御を強化する方法
ますます高度化するフィッシングキャンペーンに直面する組織は、ユーザーとデータを守るために多層的なアプローチを採用しなければなりません。
- メール内の埋め込みリンクには慎重に対応し、送信者情報、書式の不整合、メールアドレスの不一致などを確認してから操作する。
- リンクにカーソルを合わせて実際の遷移先を確認し、メールに記載されたURLではなく、信頼できるプラットフォームから直接文書にアクセスする。
- フィッシング耐性の高いMFAを実装し、最小権限を適用するとともに、すべての重要アカウントに対して強固なアイデンティティおよびアクセス制御を徹底する。
- メール認証を強化し、適切に構成されたDMARC、DKIM、SPFを用いてなりすましや偽装のリスクを低減する。
- 高度なメールセキュリティツールを導入する。たとえば、アンチフィッシングエンジン、URLフィルタリング、行動分析、サンドボックス、ユーザー通報機能など。
- 継続的な従業員向け啓発トレーニングを実施し、最新のリダイレクト手法やなりすまし技術を反映した定期的なフィッシング訓練を行う。
- 金融および文書承認ワークフローを検証し、アウトオブバンドでの確認を行うとともに、SaaS上のアクティビティを監視して、不審なアクセスや共有行動を検知する。
これらの対策は、被害範囲を限定し、サイバー・レジリエンスを高めるのに役立ちます。
信頼が攻撃対象となるとき
このキャンペーンは、攻撃者が必ずしも高度なエクスプロイトを必要としているわけではないという現実の高まりを浮き彫りにしています——必要なのは、「本物らしく見えること」だけの場合もあるのです。
フィッシングオペレーションは今や、信頼されたクラウドサービス、見慣れたブランド、日常的なビジネスワークフローを悪用することで、本物と悪意あるコミュニケーションの境界線を日常的に曖昧にしています。
組織がデジタル文書のやり取りやオンライン取引システムに依存するようになるにつれ、こうしたなりすましベースの攻撃は加速する態勢にあります。
攻撃者が日常的な金融・業務プロセスを模倣する能力を洗練させるにつれ、最もありふれたワークフローでさえ、瞬く間に高リスクの侵入経路となり得ます。
信頼が容易に偽造されうる脅威環境において、組織はあらゆるやり取りを検証するアーキテクチャへとシフトしなければなりません——これはゼロトラストアプローチの中核となる原則です。
翻訳元: https://www.esecurityplanet.com/threats/check-point-warns-of-40000-finance-themed-phishing-attacks/
