Office 365のアカウントを狙ったフィッシング

2019年2月12日

少なくとも昨年夏から、正体不明のサイバー犯罪者がOffice 365の利用者にメールを送りつけ、認証情報をだまし取ろうとしています。この攻撃を最初に発見したリサーチャーによると(英語記事)、Office 365を利用する人々の最大10%が、そのようなメッセージを受け取っていた可能性があります。

PhishPoint攻撃

この詐欺メールは、見た目にはSharePointでの共同作業を依頼する普通の招待メールのようです。OneDrive for Businessに保存された文書を開くように促す内容で、メール内のリンクからは確かにOneDrive for Business内の文書に飛ぶのですが、この文書が偽のアクセス依頼なのです。ページ下部の[文書にアクセス]リンクをクリックすると、Microsoft Office 365のログインページに見せかけた第三者のWebサイトに転送されます。

企業のワークスペースは他のリソースよりも信用できると考えられており、Office 365の利用者は、部外者がそう簡単にSharePointサービスにアクセスできるはずがないという印象を持っているかもしれません。そのため、詐欺サイトへのリンクを平気でクリックしてしまうのです。この詐欺サイトで入力したログイン情報は、偽ファイルの所有者の手に渡ってしまいます。

ログイン情報を手にしたサイバー犯罪者は、メールやクラウドストレージや業務上の機密情報へのアクセス権など、被害者の持つすべての権限を掌握可能となります。彼らは企業アカウントを隠れ蓑に、極秘情報を盗んで競合他社に渡したり、マルウェアを拡散したり、社員の名前やプロジェクトの情報をスピアフィッシングに利用したりする可能性があります。

巧妙なのは、メールフィルターによってメッセージ内のリンクがチェックされる点です。リンクに問題はありません。ワークスペース内にある、何の問題もない文書にリンクしているだけです。しかし、この文書にアクセスした時点でメールフィルターの管轄を離れることになるわけで、後はコンピューターにインストールされているセキュリティ製品に保護を任せるしかありません。

事業と社員を守るために

社員のセキュリティ意識を高め、PhishPoint攻撃や同様の攻撃に対する保護を向上させるには、以下の点に留意しましょう。

  • Office 365を利用するスタッフに、こういった詐欺があることを伝える。事前の話もなく突然文書へのリンクが送られてくることは、めったにありません。説明なく文書が共有されてきたら、必ず開く前に差出人と思われる人に確認してください。
  • 知らないアドレスから届いたメールは特に警戒し、疑いを持って取り扱う。スタッフにもこれを徹底させましょう。
  • 全社員のワークステーションをエンドポイントサイバーセキュリティ製品で保護する。このようなフィッシング詐欺への対策として極めて重要です。