Microsoft 警告:Office 365 や Zoom を装うフィッシングが流行っている

Microsoft Warns of Widespread Phishing Attacks Using Open Redirects

2021/08/28 TheHackerNews — Microsoft の警告は、電子メールに含まれるオープン・リダイレクト・リンクでユーザーを騙し、セキュリティ・ソフトウェアを回避して悪意の Web サイトを訪問させるという、クレデンシャル・フィッシング・キャンペーンが蔓延していることに対するものだ。

Microsoft 365 Defender Threat Intelligence Team は、今週に発表されたレポートにおいて、「攻撃者は、有名な生産性向上ツールやサービスを装った偽リンクと、ソーシャル・エンジニアリング・ベイトと組み合わせて、ユーザーにクリックさせるように仕向ける。最終的には、クレデンシャル情報の漏洩につながり、ユーザーや組織を新たな攻撃にさらすことになる」と述べている

電子メール・メッセージ内の正当なリダイレクト・リンクは、受信者を第三者の Web サイトに誘導する場合や、クリック率を追跡して販売の成果を測定する場合などで、重要なツールとして機能している。しかし、同じ手法を脅威アクターが悪用すると、それらのリンクを自身のインフラにリダイレクトさせることができる。それと同時に、疑わしいコンテンツの兆候を確認するために、ユーザーがリンクにカーソルを合わせようとするとき、マルウェア対策エンジンによる分析を回避するため、信頼できるドメインの URL を維持する。

メッセージに埋め込まれたリダイレクトURLは、正規のサービスを利用して設定されており、被害者をフィッシング・サイトに誘導しようとする。また、リンクに含まれる脅威アクターが管理するドメインは、トップ・レベル・ドメインとして .xyz / .club / .shop / .online を活用しており、これらのドメインがパラメータとして渡されることで、メール・ゲートウェイ・ソリューションをすり抜けてしまう。

Microsoft によると、今回のキャンペーンでは、少なくとも 350 のフィッシング・ドメインが観測されたとのことだ。それらは、Office 365 や Zoom などからの通知メッセージを装い、説得力のあるソーシャル・エンジニアリングの誘い文句を用い、巧妙に作られた検知回避技術を駆使し、攻撃を実行するための耐久性のあるインフラを効果的に利用しているようだ。

Microsoft は、「この攻撃が行われている規模を示すだけでなく、攻撃者による投資を示すものであり、大きな利益をもたらす可能性を示している」と述べている。この攻撃においては、巧妙に作成されたリンクをクリックすると、ユーザーは悪意のランディング・ページにリダイレクトされる。このランディング・ページでは、Google reCAPTCHA を使用して、動的なスキャンの試みをブロックしている。CAPTCHA の検証が完了すると、Microsoft Office 365 などのサービスを装った不正なログイン・ページが表示され、情報を送信する際にパスワードを盗み取られる。

研究者たちは、「このフィッシング・キャンペーンは、認証情報を盗み出し、最終的にネットワークに侵入する。そして、ソーシャル・エンジニアリングと、検知回避、大規模な攻撃インフラという、パーフェクト・ストームを例示している。また、サイバー攻撃の 91% が電子メールに端を発していることを考えると、この種の攻撃に対して多層的な防御を提供する、セキュリティ・ソリューションを用意する必要がある」と述べている。

文中にもあるように、「Office 365 や Zoom などからの通知メッセージを装い、説得力のあるソーシャル・エンジニアリングの誘い文句を用い、巧妙に作られた検知回避技術を駆使し」となると、たいがいの人は騙されそうな気がします。7月に「Web アプリのパスワード・リセットと DNS スプーフィングの組合せは最悪の結果を招く」という記事をポストしましたが、それにも劣らぬ巧妙さですね。ご用心ください。

%d bloggers like this: