人事評価を装った企業に対するフィッシング

2019年10月17日

サイバー犯罪者たちは、業務で使用するアカウントの認証情報を手に入れようと、社員をだましてフィッシングサイトへ誘導する新しい手段を繰り出してきます。過去には、SharePointの招待メールボイスメールをおとりに使うスパム攻撃がありました。

当社のエキスパートは最近、企業の人事評価プロセスを模倣するという新たなフィッシングの手口を発見しました。この攻撃は、メールを受け取った人が、この人事評価関連のメールを(a)必須であり、(b)昇給につながる可能性があるものと考える、という意味で二重に効いています。注目したいのは、このような人事評価を一部の企業では給料見直しの際に毎度行っているという点です。したがって、従業員は何の疑念も抱きません。

いつものように、すべては1通のメールから始まります。標的となった従業員は、人事部が送信元であるように見える、人事評価に関するメールを受け取ります。メールの文章には、「評価用フォーム」が設置されたWebサイトへのリンクが含まれています。

十分な知識のない人をターゲットに

メールに書かれた指示によると、このリンクをクリックして、表示されたページにログインし、追加情報が書かれたメールが届くのを待ち、3つある選択肢のうち1つを選ぶ、という流れです。入社したばかりで自社の人事評価の流れをよく分かっていない人からすると、一連のプロセスは説得力を持って見えます。怪しいと感じるとすれば、Webサイトのアドレスが自社とは関連がない点くらいのものでしょう。

リンクをクリックすると、人事部のポータルサイトらしきログインページが開きます。各種企業向けサービスのログインページを装うフィッシングサイトとは異なり、鮮やかな単色かグラデーションの背景にデータの入力フィールドがあるだけのシンプルなページです。本物らしく見えるように、プライバシーポリシーへの同意を求めるチェックボックス(ただし、プライバシーポリシーページへのリンクはない)が添えられています。

ここではユーザー名、パスワード、メールアドレスの入力を求められます。業務で使っているアドレスを入力するようにとの指示が書かれている場合もあります。[Sign in]ボタンまたは[Appraisal]ボタンをクリックすると、入力したデータはサイバー犯罪者の手に渡ることになります。

この時点で、この「人事評価」は突然終了します。しばらく待っても、届くはずの追加メールが来ることはありません。ここで社員は何かおかしいと思い、または本物の人事部に連絡を取り、そうしてITセキュリティ部門が知るところになるわけですが、社員によるそういうアクションがない限り、企業は情報を盗まれたことに何か月も気づかない可能性があります。

業務用アカウント乗っ取りがもたらす危険

どのような危険があるのかは、このフィッシング攻撃を受けた企業がどのような保護技術を取り入れているかによります。社員のアカウント認証情報を得たサイバー犯罪者は、たとえば他の企業の社員、パートナー企業、顧客に対し、被害者の名前を使ってフィッシングメールを送り付けることが可能になります。

社員のアカウント認証情報があると、攻撃者はメールや社内機密文書にもアクセスできるようになるため、攻撃が成功する確率が高まります。被害に遭った人の名義で送られてくるメールは、スパムフィルターを回避できるだけでなく、メールを受け取った人がそのメールに危険はないと誤った判断を下す可能性があります。このほか、盗まれた情報は、その企業自体を狙った標的型攻撃、たとえばビジネスメール詐欺(BEC)などに使用される可能性もあります。

さらに、入手した内部文書や社員のメールは、脅迫の種に使う、ライバル企業へ売却するなどの用途で利用される恐れもあります。

フィッシング攻撃から身を守るには

このような攻撃は、主に人的要因を悪用します。したがって、サイバーセキュリティについて自社でどのような対応を推奨しているのか、社員によく理解してもらうことが重要です。

  • メールにあるリンクには注意すること、リンクを開くのはそのリンクが信頼できることが確かな場合に限ることを、定期的に社員へリマインドする。
  • 業務上使用するアカウントの詳細を外部のWebサイトに入力しないということを、折に触れ再認識してもらえるようにする。
  • フィッシングメールが社員の受信トレイへ届く前に阻止できるように、メールサーバーのレベルでセキュリティ製品を導入する。Kasperskyでは、そのためのソリューションとしてKaspersky Security for Mail ServerKaspersky Endpoint Security for Business Advancedをご用意しています。