サイバーセキュリティソリューションの先駆者であり世界的リーダーであるCheck Pointの研究者は、サイバーセキュリティ分野において、攻撃者がファイル共有サービスや電子署名サービスになりすまし、正規の通知を装った金融関連の餌を送信するフィッシングキャンペーンを発見しました。
超接続の世界では、企業や消費者が文書をやり取りし、取引を承認し、重要な財務ワークフローをワンクリックで完了することが、これまでになく容易になりました。銀行、不動産、保険、そして日々の商取引で広く利用されているデジタルファイル共有および電子署名プラットフォームは、現代の組織を迅速に運用するうえで不可欠な存在となっています。この利便性は、サイバー犯罪者にとっての機会も生み出します。
このキャンペーンでは、Check PointのHarmony Emailのテレメトリデータにより、ここ数週間で4万通を超えるフィッシングメールが送信され、約6,100社が標的となったことが示されています。
すべての悪性リンクは、https://url.za.m.mimecastprotect.comを経由するよう誘導され、ユーザーに馴染みのあるリダイレクトの流れを再現することで信頼感を高めていました。
Mimecastの安全なリンク書き換え機能の悪用
Mimecast Protectは信頼されたドメインであるため、この手法は悪性URLが自動フィルタとユーザーの疑念の双方を回避するのに役立ちます。信憑性を高めるため、メールは公式サービスの画像(MicrosoftおよびOffice製品のロゴ)をコピーし、ヘッダー、フッターの文言、サービス風の「文書を確認」ボタン、さらに「X via SharePoint (Online)」「eSignDoc via Y」「SharePoint」といった偽装された表示名を使用して、本物の通知テンプレートを忠実になぞっていました。
大規模なSharePoint/電子署名キャンペーンに加え、研究者はDocuSignの通知を模倣する、より小規模だが関連する作戦も特定しました。主要な攻撃と同様に、信頼できるSaaSプラットフォームになりすまし、正当なリダイレクト基盤を悪用していますが、悪性の宛先を隠すために用いられた手法は大きく異なります。
主要キャンペーンでは、二次リダイレクトがオープンリダイレクトとして機能し、信頼されたサービスに包まれているにもかかわらず、クエリ文字列内に最終的なフィッシングURLが見える状態でした。DocuSignをテーマにした亜種では、リンクがBitdefender GravityZoneのURLを経由し、その後Intercomのクリック追跡サービスを通過し、実際の遷移先ページはトークン化されたリダイレクトの背後に完全に隠されていました。このアプローチにより最終URLが完全に隠蔽され、DocuSign亜種はさらに回避性が高く、検知が困難になります。
このキャンペーンは主に組織を標的としており、米国(34,057)、欧州(4,525)、カナダ(767)、アジア(346)、オーストラリア(267)、中東(256)に集中していました。特にコンサルティング、テクノロジー、建設/不動産分野に焦点が当てられ、さらに医療、金融、製造、メディアおよびマーケティング、輸送および物流、エネルギー、教育、小売、ホスピタリティおよび旅行、公共部門にも被害者がいました。これらの業界は契約書、請求書、その他の取引文書を定期的にやり取りするため、ファイル共有や電子署名を介したなりすましが非常に説得力を持ち、成功しやすい標的となります。
なぜ重要なのか
過去にも類似のフィッシングキャンペーンは報告されてきましたが、この攻撃が独特なのは、攻撃者が信頼されるファイル共有サービスをいかに容易に模倣してユーザーをだませるかを示している点です。また、特にメールにクリック可能なリンクが含まれている場合、送信者に不審な点がある場合、本文の内容が不自然な場合には、継続的な注意喚起が必要であることを強調しています。
組織が取るべきこと
組織も個人も、リスクを低減するために能動的な対策を講じる必要があります。身を守る方法としては、次のようなものがあります。
- メールに埋め込まれたリンクは、特に予期しない内容や緊急性を装う場合、常に慎重に扱う。
- 表示名と実際の送信者アドレスの不一致、書式の不整合、異常なフォントサイズ、低品質なロゴや画像、違和感のある要素など、メールの細部に十分注意する。
- クリックする前にリンクにマウスオーバーして実際の遷移先を確認し、メッセージを送ったとされるサービスと一致していることを確かめる。
- メール内のリンクを使うのではなく、ブラウザでサービスを直接開き、文書を直接検索する。
- 新たに出現するフィッシング手法について、従業員やチームに定期的に教育し、疑わしいパターンを理解させる。
- メール脅威検知、アンチフィッシングエンジン、URLフィルタリング、ユーザー報告ツールなどのセキュリティソリューションを活用し、全体的な防御を強化する。
Check Pointが説明したこの攻撃キャンペーンは、Mimecastの脆弱性ではなく、正当なURLリダイレクトサービスを悪用して有害なリンクを隠していました。攻撃者は、MimecastのURL書き換えサービスを含む信頼されたインフラを悪用し、フィッシングURLの真の宛先を偽装しました。これは、犯罪者が検知回避のために認知されたドメインを利用する一般的な手口です。
「Mimecastのお客様は、この種の攻撃の影響を受けやすいわけではありません」と、Mimecastの責任者は述べています。「Mimecastの検知エンジンはこれらの攻撃を特定してブロックします。当社のURLスキャン機能は配信前に悪性URLを自動的に検知してブロックし、その後、当社のURL書き換えサービスがクリック時にリンクを検査することで、正当なリダイレクトチェーンの背後に隠れている場合でも脅威を捕捉する追加の保護層を提供します。当社は進化し続けるフィッシング手法に対する防御を継続的に強化しています。お客様は、類似キャンペーンに関する当社の2024年の分析を次のリンクで参照できます https://www.mimecast.com/threat-intelligence-hub/phishing-campaigns-using-re-written-links/。Check Pointが責任ある開示を通じて調査結果を共有してくれたことに感謝します」