最近巧妙な標的型攻撃が多数確認されています。詐欺師は、広く使用されている様々なオンラインサービスを利用するだけでなく、ソーシャルエンジニアリング手法を用いて被害者を騙し、フィッシングリンクをクリックさせようとしています。今日は、これまでにあまり見られなかった多段階式のフィッシング詐欺の手口についてお話しします。
最初のメール
被害者は、実在する監査法人からと思われる電子メールを受信します。これがフィッシング攻撃の始まりです。そこには、監査済み財務諸表を送付しようとしたが、メールでは容量が大きすぎるため、Dropboxにアップロードしたと書かれています。送信者のメールアドレスは、その監査法人のメールサーバーに実在するアドレスから送信されており、受信者がすぐに気づかないように仕組まれています。
どのようなメールセキュリティーシステムから見ても、このメールに疑わしい点はなく、通常のビジネス文書と見分けがつきません。メールにリンクは一切なく、しかも企業のアドレスから送信されており、監査に関するメールの送信が失敗したことを受信者に連絡しているだけです。それを読んだ財務担当者は、もちろん見て見ぬふりをするわけにいきません。内容は機密で、しかも特定の受信者のみを対象としており、さらに送信者は多くの人が信頼し利用するサービスであるためです。
唯一の赤信号は、メールにある通り、Dropboxの「アプリケーションセキュアアップロード」を使用してレポートを再び送信しなければならなかったという点です。「アプリケーションセキュアアップロード」という機能は存在しません。Dropboxにアップロードされたファイルはパスワードで保護することは可能ですが、それ以外にできることはありません。本当の目的は、レポートをダウンロードするには何らかの認証が必要であることを受信者に知らせることだと思われます。
二通目のメール
続いて、Dropboxから直接メールが届きます。メールの内容は、前のメールにあった監査法人が「監査済み財務諸表」というファイルを共有し、それをレビューして署名し、処理のために返却するよう求めているとのことです。
このメールにも不審な点はありません。Dropboxの正規のオンラインデータストレージサービスへのリンクが含まれています。もしこの通知が何のメッセージも添えずに届いていたら、無視された可能性が高いでしょう。しかし、メールの内容も特定の人物宛てのため、Dropboxのウェブサイトに行き、ドキュメントを見ようとする可能性が高いと言えます。
Dropboxファイル
被害者がリンクをクリックすると、ぼやけた文書が表示され、その上にオフィスの認証情報を使って認証するよう要求するウィンドウが開きます。しかし、この不鮮明な背景もボタンのあるウィンドウも、実際にはPDFファイルに挿入された1つの画像の一部です。
被害者は、「VIEW DOCUMENT(ドキュメントを見る)」のボタンをクリックする必要はありません。画像の全体が1つの大きなボタンになっており、その裏のリンクは(リダイレクトされた中間サイトを経由して)ログイン認証情報を入力するフォームを起動するスクリプトにつながっています。ここで認証情報を入力すると詐欺師に情報を窃取されてしまいます。
すべての従業員は、業務用の認証情報は明らかに組織のものであるサイトにのみ入力することを忘れてはなりません。Dropbox も外部の監査役も、あなたのパスワードを知る必要はありません。
被害に遭わないために
詐欺師は、企業の認証情報を窃取するために、さらに巧妙な手口を考え出しています。そのため、複数の防御層で情報セキュリティ対策を強化するソリューションを導入することを推奨します。第一に、企業のメールサーバーを保護すること、第二に、インターネットに面したすべての業務用デバイスに、信頼性の高いアンチフィッシングテクノロジーを備えたセキュリティソリューションをインストールしましょう。