Kaspersky Labのリサーチャーは、企業のアカウントから金銭を窃取しようとする新手のフィッシング詐欺の活動を発見しました。標的となっているのは、主に製造業の企業でした。そうした企業に対する攻撃は、サイバースパイ活動や業務妨害活動と関連していることが多いのですが、この件は違います。どうやら、そうした企業が多額のお金を持っていることを思い出したサイバー犯罪者がいたようです。
古き良きフィッシング手口
この攻撃では、手の込んだツールが使われているわけではありません。むしろ、取引の申し出や金融機関の書類を装ったメールを通じて有害なソフトウェアを配布するという、よくあるフィッシングの手法が用いられています。
主な特徴は、事前準備を実に入念に行っていると見られることです。メール文面は、宛先の社員にフルネームで呼びかけています。また犯行グループは社員の役職も、その会社が力を入れている分野も把握しており、申し出の文面に記載されている情報はすべて正当なものに見えます。
悪意ある添付ファイルを送りつけるパターンもあれば、サイトへのリンクを送ってくるパターンもありますが、いずれのメールも、ハッカーが使用するツールをメールの受け手が自発的にダウンロードするように誘導する内容となっています。たとえば、少なくとも1人の社員が受け取ったメールは、自社が入札への参加企業として選定されたという内容でした。入札への参加登録を行うには、正規のソフトウェアである「Seldon 1.7」をインストールする必要がありました。このソフトウェアの実行ファイルが入ったアーカイブファイルがメールに添付されていましたが、それをデバイスにインストールすると同時に、マルウェアもインストールされました。
別の例では、自動車売買の支払い指示書が、悪意あるPDFファイルの形式でメールに添付されていました。メッセージの文面は実に細部まで作り込まれており、実在する企業の名前、実在する納税ID、特定の車種に対応するVINまで記載されていました。
正規のソフトウェア
この攻撃では、正規のリモート管理アプリケーションであるTeamViewerまたはRemote Manipulator System(RMS)が使われています。目的は、デバイスへのアクセス権を取得した上で、現在の購入に関する情報をスキャンし、財務や会計のソフトウェアもスキャンすることです。犯罪者たちはその後、銀行口座情報を書き換えるなどのさまざまな手口を用いて、企業の金銭を窃取しようとしました。
このほか、システムへのアクセス権をできるだけ長く保持するため、デバイスの所有者にもセキュリティ製品にも不審な情報が検知されないようにいくつかの手法を用いていました。
追加の兵器
必要に応じて、感染先デバイスに追加のツールがアップロードされます。たとえば、より上位のアクセス権を取得して追加の情報を収集するようなアプリケーションです。こうしたアプリケーションは、データ(ログイン情報やデバイス内に保存されているファイルなど)の窃取、スクリーンショットの撮影、画面動画の録画、デバイスのマイクを使ったオフィス内音声の録音、ローカルネットワーク上の他のデバイスからのログインデータ取得、といったことが可能です。
このようにして、犯行グループは理論上、企業の資金を窃取する以上のことを実行可能です。標的の企業、その企業の顧客、そしてパートナーに関する機密情報を取得する、スタッフの活動を監視する、感染したコンピューターの周囲の音声や映像を録音・録画する、さらには感染したシステムを利用してDDoSなどのさらなる攻撃を仕掛ける、などが挙げられます。
標的となっているのは?
本記事執筆時点で、犯行グループは製造、石油およびガス、冶金、エンジニアリング、エネルギー、建築、採鉱、物流と幅広い業界の400社以上に属する約800台のコンピューターへの感染を試みています。このフィッシング活動は2017年10月から続いています。
被害に遭わないために
このフィッシング活動の事例から改めて実感されるのは、正規のツールでも危険が潜んでいる場合がある、ということです。セキュリティ製品がこの事実を考慮に入れて設計されているかどうかは、製品によってまちまちです。そのようなソフトウェアと、入念に考え抜かれたフィッシング手口を組み合わせた攻撃を受ければ、経験豊富な社員でも罠にかかりかねません。組織を守るために以下の対策をお勧めします。
- 社員に対する情報セキュリティ教育を徹底しましょう。Kaspersky Labでは、知識を伝達するだけでなく新しい行動パターンの形成も支援する研修やトレーニングのコースを用意しています。
- 不審なプログラムだけでなく正規のプログラムの動作もチェックする最新型の保護技術を使用しましょう。たとえばKaspersky Endpoint Security for Businessは、その機能を備えています。