Microsoft 365のログイン情報を狙う、画像を使ったフィッシングメール

テキスト分析のメカニズムを避けるために、フィッシングメールを画像で配信するケースが発生しています。危険を回避するには。

最近のフィッシング対策ソリューションや迷惑メール対策ソリューションでは、機械学習テクノロジーの活用が進んでいます。ニューラルネットワークを使用してテキスト分析を行うため、フィッシングメールを見逃しにくくなってきました。対する攻撃者側は、シンプルながらも効果的な手口を使い始めました。文字を画像の中に入れ込むという手法です。文字を入れ込んだ画像は、Base64エンコードしてメール本文に埋め込まれています(一般的に、メール内の画像は外部Webサイトに置かれており、メールクライアントは社外から届いたメールの中にある画像は読み込まない)。そのようなメールのほとんどは、Microsoft 365のログイン情報を手に入れることを目的としています。

フィッシングメール

このタイプのメールは、一見すると普通のメールですが、実際には白い背景に貼り付けられた画像です。以下の画像は、その典型的な例です。

Microsoftから届いたアカウント確認メールのような体裁のフィッシングメール。実は白地に文字が書いてある画像が貼られたもの

Microsoftから届いたアカウント確認メールのような体裁のフィッシングメール。実は白地に文字が書いてある画像が貼られたもの

このメールはMicrosoftから届いたように見せかけられています。あなたのアカウントでいつもと違うアクティビティが見られた、48時間以内にアカウント確認を行わないとアカウントを停止する、といった内容で、アカウント確認用の青いボタンが付いています。

こういったメールを受け取ったときは、メールの各要素は適切か、変わったところはないか、メールに妥当性はあるかを検討してください。この場合目に付くのは、メールの形式です。どんなメールでもそうですが、わざわざ画像メールにする理由がありません。特に、アカウント確認を求めるメールのような自動生成メールの場合は、テキストメールが使用されます。メールが画像かテキストか、確認するのは簡単です。ハイパーリンクまたはボタンにマウスのカーソルを合わせて、カーソルの形が変わるかどうか見てください。通常のテキストメールであれば、カーソルの形が変わります。ところが、このフィッシングメールの場合、画像のどこをクリックしてもハイパーリンクが開くようになっています。これは、この画像にハイパーリンクが貼り付けられているためです。要するに、このメール本文全体が一つのボタンまたはハイパーリンクになっているのです。

メール本文が画像かテキストかを見極める証拠がもう少し欲しいなら、文字をハイライトしてみるか、メールクライアントのウィンドウサイズを変更してみてください。画像であった場合、表示されているテキストをハイライトできませんし、ウィンドウのサイズを変更しても文の改行位置や長さが変わることはありません。

メールの全体的な形式にも怪しいところがあります。フォントや行間がバラバラ、句読点の使い方が間違っている、言葉遣いが不自然といった特徴は、どれも詐欺メールであることを示しています。もちろん人間はミスをするものですが、Microsoftのテンプレートにミスがあるとはほぼ考えられません。このようにあからさまな間違いがいくつも見られる場合、ほぼフィッシングメールだと考えて間違いありません。

最後に、アカウント確認の手続きを48時間以内に行うようにと書かれているところも、注意したいポイントです。相手を慌てさせて不用意な行動をとらせようとするのは、詐欺の常套手段です。

フィッシングサイト

次は、メールから誘導されるWebサイトです。こちらはさらに説得力に欠けます。MicrosoftのWebサイトならMicrosoftのドメインにあるはずですが、ページ上部に「Create your website with WordPress.com(Webサイト制作ならWordPress.com)」というバナーが表示されているところから、このWebサイトが、無料で利用できるCMSであるWordPressで作成されていることは明らかです。

MicrosoftのWebページに見せかけようとしている偽ページ

MicrosoftのWebページに見せかけようとしている偽ページ

全体的に見ると、このWebサイトは、25年前なら本物のように見えたかもしれません。Microsoftアカウントへのサインインページは、今はこちらのような見た目です(https://login.microsoftonline.com/)。違いは明らかです。

フィッシングの被害に遭わないために

信頼性の高い保護ソリューションであれば、テキスト分析だけに頼るのではなく、いくつかの要素を基にフィッシングメールを検知します。そこで、最新のメール保護機能を搭載した、Kaspersky Security for Microsoft Office 365のような製品の使用をお勧めします。

社員が使用するワークステーションおよびインターネット接続デバイスには、フィッシングその他を防ぐさらなるバリアとして、追加のセキュリティが必要です。

最後になりますが、トレーニングを通じ、サイバーセキュリティに関する社員の意識向上を図ることも大切なポイントです。今どきのサイバー犯罪者の手口を理解しているほど、フィッシングの被害に遭う可能性も低くなります。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?