正体不明の攻撃者がMicrosoft SharePointのファイル共有サービスを悪用し、複数のエネルギー分野の組織を標的にして、ユーザー認証情報を収集し、企業の受信箱を乗っ取り、その後、侵害されたアカウントから組織内外の連絡先に向けて数百通のフィッシングメールを送信している。
水曜日の報告書でこれらのデジタル侵入の詳細を明らかにしたレドモンド(Microsoft)によると、攻撃者はこのキャンペーンで標的となったエネルギー分野の「複数」の組織への初期アクセスを得るために、以前に侵害されたメールアドレスを使用した可能性が高いという。
これらのメールには、ユーザー認証を要求するSharePointのURLが含まれており、正当なものに見せかけるために件名には「New Proposal – NDA」などが使われていた。URLをクリックした人は、ユーザー認証情報の入力を求めるウェブサイトへリダイレクトされ、これにより犯罪者は後続段階で利用できる有効なユーザー名とパスワードを入手した。
その後、攻撃者は別のIPアドレスから侵害されたアカウントにサインインし、すべての受信メールを削除し、すべてのメールを既読としてマークする受信トレイルールを作成した。そして、これらの侵害された受信箱から、悪党どもは新たなフィッシングメールを送信した。あるケースでは、別のフィッシングURLを用いて600通超のメールが送られていた。
「メールは、組織内外の侵害されたユーザーの連絡先に加え、配布リストにも送信されました」とMicrosoftの研究者は述べた。「受信者は、侵害されたユーザーの受信箱にある直近のメールスレッドに基づいて特定されました」
この特定のケースでは、新たなフィッシングメールを送信した後、攻撃者は被害者の受信箱を監視し、不在通知や配信不能メッセージを削除していた。また、メールの返信を読み、フィッシングの正当性に関する質問には回答していた。これらのメールと返信も、後に攻撃者によって削除された。
エネルギー組織内の誰であれ、悪意のあるURLをクリックした者は、認証情報の窃取とアカウント乗っ取りの標的にもされた。
The RegisterはMicrosoftに対し、侵害された組織の数、同社の脅威ハンターがこれらの攻撃の背後に誰がいるかについて何か把握しているか、そして攻撃が現在も継続しているかを尋ねた。レドモンドから回答は得られなかったが、状況が変わり次第、このストーリーを更新する。
あらゆる種類のID侵害に対する通常の推奨はパスワードのリセットだが、こうした中間者攻撃(attacker-in-the-middle)詐欺では――犯罪者が二者間のメッセージを傍受して中継し、機密データを盗み、被害者の通信を盗み見できるようにする――パスワードのリセットだけでは問題に対処するのに不十分だ。
「侵害されたユーザーのパスワードがリセットされ、セッションが取り消されたとしても、攻撃者はMFAを改ざんして制御された形でサインインするための永続化手法を設定できます」とレドモンドは警告する。「例えば、攻撃者は、攻撃者が登録した携帯番号に送られるワンタイムパスワード(OTP)でサインインするための新しいMFAポリシーを追加できます。これらの永続化メカニズムが整うと、従来の復旧措置にもかかわらず、攻撃者は被害者のアカウントを制御できてしまいます」
それでも、多要素認証(MFA)は、さまざまなサイバー脅威を阻止するうえで「不可欠な柱」であり続けるため、必ず有効化してほしい。
Microsoftはまた、ユーザーまたはグループの所属、IPの位置情報、デバイスの状態といった、追加のID主導のシグナルを用いてサインイン要求を評価する条件付きアクセス ポリシーを有効にすることも提案している。これらのシグナルがセキュリティアラートを引き起こした場合、疑わしいサインインは拒否される。
受信メッセージや閲覧したウェブサイトをスキャンするアンチフィッシング製品に投資することも役立つ。 ®
