メーリングリストを探し求めるサイバー犯罪者

ESPアカウントのログイン情報を狙うフィッシングメール。

「自分は大した情報を持っていないからサイバー犯罪者の興味を引くことはない」。こうした考えは危険ですが、中小企業のオーナーが同じように考えるのはさらに問題です。企業が基本的な保護を怠ることは、サイバー犯罪者にとっては好都合でしかありません。というのは、思いも寄らないものをサイバー犯罪者が狙うことがあるのです。例えば先日、当社のメールトラップにかかったメールは、メールサービスプロバイダー(ESP)のアカウントを乗っ取ってメーリングリストを手に入れようとするフィッシングメールでした。

メールサービスのフィッシングの手口

このメールは、メールサービスプロバイダーから届いたように見え、サブスクリプション費用の支払確認メールの体裁をしています。購入証明書はメール内のリンクから参照できる、と書かれています。メールを受け取った従業員の会社が本当にそのメールサービスを使用していたら(このフィッシングは実際にそのメールサービスの顧客を標的としています)、いつもと違う請求が何なのか確認しようと思って、リンクをクリックしてしまうかもしれません。

リンクをクリックするとメールサービスプロバイダーのページが表示されたように見えますが、これは本物のログインページにそっくりの偽サイトです。ご想像のとおり、偽のログインページに入力したデータは、サイバー犯罪者の手に渡ります。

ログイン画面の比較。左は偽ページ。

ログイン画面の比較。左は偽ページ。

ここで、本物のログイン画面(右)と偽物のログイン画面(左)を比較してみましょう。まず、偽ログイン画面のアドレスバーを見ると、通信が保護されていないことが分かります。この偽サイトに入力したデータは、保護されない状態で犯罪者の元へ送信される(つまり、第三者が傍受することが可能)ということです。次に、偽ログイン画面にはCAPTCHA認証がありません。また、本物のログイン画面では画面右下に国旗アイコンが表示されるはずですが、偽ログイン画面にはありません。こういった細々とした違いは、単体で見ると気付かない可能性が高いでしょう。

ESPアカウントにアクセスされることが危険な理由

アカウントの認証情報を手に入れた攻撃者は、顧客のメーリングリストをスパムメール送信に利用します。業界固有のメーリングリストは、メールアドレスを無作為に集めたデータベースよりも闇市場で高値が付きます。企業の業種を把握していれば、スパムメールを標的に合わせてカスタマイズできるためです。

このサイバー犯罪者がフィッシング詐欺を得意とするらしいことを踏まえると、盗まれたメーリングリストに載っている全員の元に、その企業を差出人としたフィッシングメールを送りつける可能性が高いと考えられます。差出人に怪しいところが見当たらないので、メールを受け取った人(メールマガジン購読者か、実際にメールサービスの利用者か)がメールを開いて読み、中のリンクをクリックする可能性は高いでしょう。

隠蔽の手法

このフィッシングメールを詳しく調べたところ、あるメールサービス経由で送信されたことが分かりましたが、フィッシングメールで送信元として名前を利用されたメールサービスとは別のサービス(競合企業のサービス)でした。サイバー犯罪者は、メールを受け取った人に怪しまれないように、メールマガジン配信によく利用されるメールマーケティング会社を隠れみのに利用することがあります(英語記事)。興味深いことに、フィッシング活動を長く続けるために、サイバー犯罪者たちは「マーケティング会社」のランディングページまで作成していました(ページタイトルが「Simple House Template」になっているのは、尻尾が見えている感があります)。

偽の「マーケティング会社」のランディングページ

以上から、このフィッシング活動の裏にはさまざまなメールサービスの仕組みを熟知した人々がいて、これ以外のメールサービスプロバイダーの顧客にも攻撃を仕掛けている可能性が考えられます。

フィッシング対策

被害に遭わないための基本的対策は、以下のとおりです。

  • 予期しないメールが届いた場合、メールに記載されたリンクをクリックしない。特に、何かのサービスへのログインを求める内容の場合は要注意です。正当なメールのように見える場合でも、リンクをクリックするのではなく、ブラウザーを開いてそのWebサイト名を手入力してアクセスしましょう。
  • Webサイトの安全性を確認する。フィッシングサイトではないことが確認できても、ブラウザーが安全だと認識しないWebサイトの場合、入力した情報が第三者に傍受される可能性があります。
  • フィッシングの特徴を見分ける方法を学び、その方法を従業員全員に伝える。
  • スパムメールやフィッシングメールが届かないようにフィルタリングする専門ソリューションを、自社に導入する。
  • 誰かがフィッシングメールのリンクをクリックした場合に危険を回避できるように、業務用デバイス全部にセキュリティ製品をインストールする。製品や定義データベースのアップデートは、公開されたらすぐに適用してください。
ヒント