Microsoft Officeを利用したフィッシングの手口

Microsoft Officeアカウントへのサインインを求めるメールを受信したときに注意すべきポイント。

Microsoft Officeのログインページに似せたWebサイトに企業ユーザーを誘導してログインさせようとする。そのようなフィッシングメールが多数出回っています。企業メールにアクセスできるようになれば、ビジネスメール詐欺タイプの攻撃を仕掛けることができるので、サイバー犯罪者は企業メールのアカウントのログイン情報を手に入れようとするのです。そこで、フィッシングメールに記載されたリンクをクリックしてしまって偽サイトに誘導された場合、どういったことに注意すべきかを知っておくことが非常になってきます。

Microsoft Officeアカウントのログイン情報を盗もうとする行為は、以前から見られていました。しかし、その手口は進化を続けています。今回は、私たちが実際に受信したメールを例に、サイバー犯罪者の新たな手口を紹介し、取るべき行動について説明します。

新たなフィッシングの手口:HTML形式の添付ファイル

一般にフィッシングメールには、偽サイトへのハイパーリンクが含まれています。これまでもお伝えしてきたとおり、ハイパーリンクについては十分な注意が必要です。例えば、全体的な見た目におかしな点がないか、リンク先の実際のWebアドレスに不審な点がないか(URLにマウスカーソルを重ねると実際のアドレスが表示されます)を確認するといった具合です。このように十分に用心する人たちが増えると、今度はリンクの代わりにHTMLファイルが使われるようになりました。その目的はただ一つ、Webサイトへの誘導を自動化することです。

添付されたHTMLファイルは、クリックするとブラウザーで開きます。フィッシングの側面で言うと、このファイルにはフィッシングサイトのアドレスを変数とするコード(javascript: window.location.href)が一行含まれています。このため、同じブラウザーウィンドウでフィッシングサイトが強制的に開きます。

フィッシングメールの注意すべき点

戦術が変わっても、フィッシングはフィッシングです。そこで、まずはメールそのものの注意点から見ていきましょう。以下の画像は私たちが実際に受信したメールで、ボイスメールが届いていることを知らせる偽の通知でした。

ボイスメールを受信したという、「MS Recorder」からの通知メール

ボイスメールを受信したという、「MS Recorder」からの通知メール

添付ファイルをクリックする前に考えるべき注意ポイントは、以下のとおりです。

  1. 送り主は自分の知っている人か?その人は、仕事関連でボイスメッセージを残しそうか?
  2. 自分の勤め先では、ボイスメールの送信は普通のことか? Microsoft 365では2020年1月以降、ボイスメールをサポートしていません。
  3. こういう通知を送ってくるのはどのアプリケーションなのか、把握できているか?「MS Recorder」というアプリケーションは、Microsoft Officeパッケージの中にはありません。何にせよ、Microsoft既定の音声録音アプリケーション(理論上はボイスメールの送信が可能)は「ボイスレコーダー」という名前であって、「MS Recorder」ではありません。
  4. 添付ファイルは音声ファイルの形式か?「ボイスレコーダー」では録音した音声を共有できますが、ファイル形式は「M4A」です。また、何らかのツールによる録音がサーバーに保存されているのであれば、ファイルが添付されてくるのではなく、ファイルへのリンクが送られてくるのが普通です。

状況をまとめると、こうなります。見知らぬ送信元から、聞いたことのないアプリケーションで録音されたらしいボイスメールを受信したという内容のメールが届いた。ボイスメールはメールにWebページ(HTMLファイル)として添付されている。自分の会社ではボイスメール機能を使っていない。さて、このファイルを開けてみる価値はあるでしょうか?もちろん、ありません。

フィッシングページを見破るには

先ほどの添付ファイルをクリックして、フィッシングページに移動したとしましょう。そのページが正規のサイトではないと見破るには、どうすればよいでしょうか?

フィッシングページ

フィッシングサイトを見破るポイントは、以下のとおりです。

  1. アドレスバーに表示された内容は、MicrosoftのWebサイトのアドレスのように見えるか?
  2. [Can’t access your account?(アカウントにアクセスできない場合)]や[Sign in with a security key(セキュリティキーでサインインする)]のリンクをクリックした場合、本来誘導されるべきページに移動するか?フィッシングページであっても本物のMicrosoftのページに移動することはあります。このメールの場合、リンクは無効でした。詐欺であることを示す明確なサインです。
  3. 画面に不審な点はないか?MicrosoftのWebページであれば、背景のカラースケールといった細かい点まできちんとしているのが普通です。もちろんミスは誰にでもあり得るものですが、何かおかしな点がある場合、警戒するに越したことはありません。

とにかく、何かおかしいと感じる場合は、Microsoftの実際のサインインページがどのような見た目か、https://login.microsoftonline.com/にアクセスして確認してみてください。

罠にかからないために

知らない人にOfficeアカウントのパスワードを差し出してしまうようなことにならないように、十分留意しましょう。

  • 何といっても、まずは、よく注意することが大切です。少なくとも、記事中にて説明した注意ポイントを意識して確認することは、単純なパターンのフィッシングの回避に役立ちます。
  • 企業のIT管理部門としては、ハイパーリンクやHTML形式の添付ファイルを使用したフィッシング行為を検知できるように、Microsoft 365対応のセキュリティ製品で社員のメールボックスを保護すると良いでしょう。また、エンドポイントを保護することでフィッシングサイトへのアクセスを防ぐことも推奨します。
ヒント