- 攻撃者は Mimecast の URL 書き換え機能を悪用し、フィッシングメール内の悪意あるリンクを隠蔽
- 4万通以上のメールが 6,000 を超える組織に到達、特にコンサルティングやテクノロジー分野が標的に
- キャンペーンは世界中のフィルタを回避し、被害者の大半は米国だが、Mimecast は脆弱性の存在を否定
サイバー犯罪者が、正規の Mimecast 機能を悪用して、非常にもっともらしいフィッシングメールを大規模に配信しています。
これはサイバーセキュリティ企業 Check Point によるもので、同社はわずか 2 週間の間に、世界中の 6,000 を超える組織に対して、この種のメールが 4万通以上送信されるのを確認したと主張しています。
まず犯罪者は、信頼できるブランド(SharePoint、DocuSign、その他の電子署名通知など)からのメール通知に酷似したメッセージを作成し、ロゴ、件名、表示名といった細部にまで注意を払います。メッセージの内容は、日常的に届く通知メールと何ら変わらないように見えます。
コンサル、テック、不動産が標的に
同時に、資格情報を盗み取ったりマルウェアを配布したりするフィッシング用のランディングページも用意します。これらの URL は、1つ以上の正規のリダイレクトおよびトラッキングサービス(今回の場合は Mimecast)を経由する形でラップされます。
このサービスは、信頼されたドメインを経由するようリンクを書き換えるため、攻撃者は自分たちの悪意あるリンクを送信し、最終的なメール上では実際の遷移先ではなく Mimecast のドメインが表示されるようにします。
その結果、フィッシングメールはメールセキュリティソリューションやフィルタをすり抜け、被害者の受信トレイに直接届いてしまいます。
Check Point によると、多くの業界がこのキャンペーンの被害に遭いましたが、特に契約書や請求書のやり取りが日常的に行われる業界が大きな打撃を受けました。これにはコンサルティング、テクノロジー、不動産が含まれます。その他、医療、金融、製造、政府機関なども notable な被害業種として挙げられています。
被害者の大多数は米国(34,000件)で、次いでヨーロッパ(4,500件)、カナダ(750件)となっています。
Mimecast は、これは脆弱性ではなく、悪用されている正規の機能だと強調しています。
「Check Point が説明した攻撃キャンペーンは、悪意あるリンクを難読化するために正規の URL リダイレクトサービスを悪用したものであり、Mimecast の脆弱性ではありません。攻撃者は、Mimecast の URL 書き換えサービスを含む信頼されたインフラを悪用し、フィッシング URL の真の遷移先を隠蔽しました。これは、犯罪者が検知を回避するために、認知度の高いドメインであれば何でも利用するという一般的な手口です。」
