おとりに使われるボイスメール

2019年10月7日

このところKasperskyでは、ボイスメールの通知のように見えるメールを使った大規模なスパム攻撃を追跡しています。メール本文には、ボイスメールの送信時刻とメッセージの長さ、そして、ボイスメールのプレビューとして「Just checking to remind you in regards to our…(…について確認させていただきます)」という文が記載されています。これは単に興味を引くためで、すべてのメールで同じプレビューの文が使われています。

メールには、メッセージを聞くためのリンクが付いています。リンク先は、Microsoftの一般的なサービス(Outlookなど)へのログインページのように見えるフィッシングサイトです。

[sign in(サインイン)]ボタンをタップすると、マルウェア対策ソリューションに見つからないようにBase64でエンコードされたスクリプトが起動します。このスクリプトは、認証用フォームに入力されたデータを保存して詐欺サイトに送る役目を果たします。その後、実在する企業向けボイスメールサービスの説明が記載されたページが表示されますが、これは、最後の瞬間に疑いを持たれないように注意をそらすためです。

この攻撃は、企業メールの利用者を明確に対象としています。従業員同士のコミュニケーションにボイスメールを使う企業は実際ありますし、ボイスメールのやり取りやボイスメールが届いたときの通知が可能な企業向けソフトウェアはいくつもあります。

この攻撃が目的とするところは、業務上の重要な通信記録および商業上の機密データにアクセスすることと見受けられます。

明確に企業部門を狙ったスパム攻撃の数が近年著しく増加していることは、注目に値します。サイバー犯罪者は、従業員のメールにアクセスしようとしているのです。ボイスメールの通知を装うメール以外にも、受信メールが配信キューに滞留しているという内容のメールがよく使われます。

配信できないとされているメールを受信するためとして、偽通知メールにはリンクが貼られています。このリンクをクリックすると表示される偽のログインページでは、企業メールアカウントの認証情報を入力するように促されます。入力した情報は、そのまま詐欺師の元へ送られます。

こうしたメールを受け取った人は、これが本物で、すぐに対応が必要だと考えがちです。そのため、業務上の重要なメールやボイスメールを見落としてはいけないと思うあまり、リンクをクリックして情報を入力してしまいます。

現在見られるこういった手口の場合、偽物のメールと本当のメールを見分けるのは困難です。したがって、フィッシングメールから企業を守るには、フィッシング対策機能を備え、理想的には受信メールのフィルタリングをサーバーレベルで行うような、信頼できるセキュリティ製品の利用をお勧めします。