Microsoft 警告:ビジネスメール侵害 (BEC) を目的とするフィッシング・キャンペーンに注意

Microsoft: 10,000 Organizations Targeted in Large-Scale Phishing Campaign

2022/07/14 SecurityWeek — Microsoft がユーザーに発した警告によると、1万を超える組織を対象にビジネス・メール侵害 (BEC) 追撃を行う、大規模なフィッシング・キャンペーンが発生しているようだ。このキャンペーンの一環として、攻撃者は、Adversary-in-the-middle (AiTM) フィッシング・サイトを用いて認証情報を盗み出し、MFA を有効にしているケースであっても、サインイン・セッションを乗っ取って認証をバイパスしている。

AiTM とは、ユーザーとサインイン先であるサイトの間に、攻撃者がプロキシ Web サーバを配置し、ユーザーの認証情報とセッション・クッキーを傍受し、ユーザーによるサイトへの認証も維持できるようにする、フィッシング手法のことだ。

そのためのフィッシング・ページは、ユーザーとのセッションと、ユーザーがアクセスするサイトとのセッションという、2つの異なる TLS セッションを悪用し、認証プロセスを傍受し、標的となる機密情報を抜き取る。Microsoft は、「攻撃者はセッション・クッキーを入手すると、それをブラウザに注入し、ターゲットの MFA が有効であっても、認証プロセスをスキップできる」と指摘している。

2021年9月以降において、1万を超える組織の Office 365 ユーザーが、Office オンライン認証ページを詐称する攻撃の標的にされている。

ある攻撃で脅威者は、HTMLファイルによる添付ファイルを準備し、受信者に対して音声メッセージがあることを主張する電子メールで、異なる組織の複数の従業員をターゲットにしている。この HTML ファイルを開くと、ユーザーのブラウザへの読み込みが始まり、偽のダウンロード・プログレス・バーが表示される。それは、ソーシャル・エンジニアリングの誘引を強化し、フィッシング対策ソリューションが、このページにアクセスするのを防ぐための手法である。

また、この Web サーバは、標的とする組織の Azure Active Directory (Azure AD) のサインイン・ページをプロキシし、必要に応じて対象組織のロゴも取り込んでいた。

Microsoft は、「ターゲットが認証情報を入力し、認証されると、正規の office.com のページにリダイレクトされる。しかし、その背後で攻撃者は、この認証情報を傍受し、ユーザーの代わりに認証を受けることになる。攻撃者は、このようにして、組織内で後続の活動 (支払い詐欺など) を行うことができた」と説明している。

支払い詐欺の追跡は、通常では、クレデンシャルが盗まれてから約5分後に開始される。攻撃者は盗んだセッション・クッキーを使って、Outlook Online (outlook.office.com) にログインした。

最初の侵害から数日間に、敵対者は金融関連の電子メールや添付ファイルにアクセスし、BEC 詐欺を実行するための電子メールのスレッドを検索していた。また、被害者の受信トレイから、オリジナルのフィッシング・メールを削除していた。

Microsoft は、「これらの行動は、攻撃者が手動で決済詐欺を行おうとしていたことを示唆している。彼らは、クラウド上で、それを行った。彼らは、Chrome ブラウザ上でOutlook Web Access (OWA) を使用し、侵害したアカウントから盗み出したセッション・クッキーを使用しながら、上記のアクティビティを実施した」と述べている。

脅威アクターたちは、自分たちの活動に関連するメール・スレッドを特定した後に、BEC 詐欺のターゲットからのメッセージをアーカイブ・フォルダに送信するルールを作成し、メールボックスの所有者が詐欺行為に気づかないように細工する。

その後に攻撃者は、支払いに関連する進行中のスレッドに返信し、数時間ごとにログインし、受信者からの返信をチェックした。場合によっては、攻撃者は何日も、標的である被害者と連絡を取り続けることもあった。

Microsoft は、「あるケースでは、攻撃者は侵害したメールボックスから、同時に複数の詐欺行為を試みた。攻撃者は、新しい詐欺の標的を見つけるたびに、新しい標的の組織ドメインを取り込むために作成した、受信トレイのルールを更新していった」と説明している。

ビジネス・メール侵害 (BEC:Business Email Compromise) は、標的とする組織と人物を調べ上げたうえで、最も大きな利益が得られる、絶好のタイミングで仕掛けられるものなので、甚大な損害が発生しやすいサイバー詐欺の形態となります。したがって、このような大規模フィッシング・キャンペーンは、とても憂慮すべき兆候となりますので、ご注意ください。2021年7月の「ビジネスメール詐欺 (BEC) を阻止するためのベスト・プラクティスとは?」は、要点を簡潔にまとめる記事となっています。よろしければ、BEC で検索も、ご利用ください。

%d bloggers like this: