攻撃者に必要なのはエクスプロイトではなく、信頼です。
攻撃手法の変化は世代の変化を反映しています。利便性と効率を重視することで知られるZ世代が、今やサイバーセキュリティの現場に両側から登場しています。データを守る側もいれば、盗む側もいます。
攻撃者のフィッシングツールキットにAIやノーコードプラットフォームが加わったことで、信頼を築き、ユーザーを騙すことがかつてないほど容易になっています。脅威アクターは、デフォルトで信頼されているツールと無料の正規サービスを組み合わせて、従来のセキュリティ防御や人間の疑念を回避しています。
攻撃者は今も悪意のあるメール添付ファイルを送っています。しかし、彼らは手口を拡大し、侵害されたアカウントから組織内の信頼された組み込みコラボレーション機能を使って、悪意のあるファイルやリンクを共有するようになりました——私たちはこれを「ネイティブフィッシング」と呼んでいます。
ネイティブフィッシングは、被害者にとって完全に正規の方法に見える形で悪意のあるコンテンツを届けます。例えば、M365のファイル共有システム経由で送信された場合、添付ファイルのようにスキャンされず、ネイティブに感じられ、ユーザーをフィッシングするにはあまり一般的でない手法です。
必要なのは、たった1人の内部ユーザーの侵害だけで、組織全体が危険にさらされます。本ブログでは、攻撃者がどのように1人のユーザーを侵害し、AI/ノーコードツールとM365を使ってネイティブフィッシングを行ったか、最近の実際のインシデントを分解して解説します。
OneNOT:攻撃者はOneNoteをどう活用するか
Microsoft 365スイートの一部であるMicrosoft OneNoteは、ディフェンダーが見落としがちなノートアプリケーションです。
WordやExcelとは異なり、OneNoteはVBAマクロをサポートしていません。しかし、Varonis Threat Labsは、以下の主な要因により、フィッシング攻撃での利用が増加していることを観測しています:
- 保護されたビューの対象外である
- 柔軟なフォーマットで、攻撃者が騙しやすいレイアウトを作成できる
- 悪意のあるファイルやリンクの埋め込みが可能
また、OneNoteは多くの組織でデフォルトで信頼されているアプリケーションであるため、攻撃者は配信手段としてますます利用しており、マクロコードからソーシャルエンジニアリング手法へとシフトし、セキュリティ障壁を回避しています。
1人のユーザー、OneNote、OneDrive、そして多数の被害者
最近のインシデントでは、攻撃者が非常にシンプルながら効果的な手法を使っているのを確認しました。脅威アクターがフィッシング攻撃で組織内の1ユーザーのM365認証情報を入手した後、侵害されたユーザーのOneDrive内の個人用ドキュメントフォルダーにOneNoteファイルを作成し、次のフィッシング段階への誘導URLを埋め込みました。
多くのフィッシング試行では、攻撃者は外部メールアドレスを使ってMicrosoftの「誰かがあなたとファイルを共有しました」という通知を偽装します。これらは訓練されたユーザーには見抜きやすく、巧妙なバージョンでもメールセキュリティシステムがヘッダー分析や送信者確認で検知できます。
今回のケースでは、脅威アクターはよりシンプルで効果的な方法を選びました。なりすましではなく、侵害されたユーザーアカウントからOneDriveの組み込みファイル共有機能を利用したのです。
その結果、組織内の数百人のユーザーが、信頼できる同僚から直接送られたかのように見える正規のMicrosoftメール通知を受信しました。メールには組織のOneDrive環境にホストされたファイルへの安全なリンクが含まれており、非常に信憑性が高く、セキュリティアラートも発生しにくいものでした。実際、これが攻撃者による横展開のフィッシング拡散手法でした。
