Cyberattackers Target Instagram Users With Threats of Copyright Infringement
2022/10/28 DarkReading — 新たなフィッシング・キャンペーンで Instagram ユーザーを標的とする脅威アクターたちは、URL リダイレクトを介したアカウントの乗っ取り、および、将来の攻撃での悪用、ダークウェブでの販売などを目的とした、機密情報の窃取を狙っている。Trustwave SpiderLabs の研究者たちが、10月27日に Dark Reading と共有した分析結果によると、このキャンペーンで用いられるルアーは、標的ユーザーたちに著作権侵害の疑いがあると思い込ませるものだという。それは、Instagram のインフルエンサー/企業/普通のユーザーたちにとって、大きな懸念であるようだ。
この種の [侵害フィッシング] は、今年の初めにも Facebook ユーザーをターゲットにして、コミュニティ基準に違反していることを示唆するメールを送るという、別のキャンペーンでも見かけられたと、研究者たちは述べている。
Trustwave SpiderLabs のセキュリティ研究者である Homer Pacag は、「このテーマは新しいものではなく、昨年から時折見かけるようになっている。今回も著作権侵害という同じ手口だが、攻撃者は被害者から、より多くの個人情報を得ることで、フィッシング URL を隠すために回避技術を使用している」と述べている。
この回避策は、URL リダイレクトという形で行われる。つまり、インターネット・ユーザーの知識向上に伴い、より巧妙に検出を回避するフィッシング・テクニックへと、脅威アクターたちの戦術が進化しているのだ。
URL リダイレクトでは、フィッシング・ページに到達するためにユーザーのクリックが必要な、悪意のファイルを添付する代わりに、メッセージに埋め込まれた正当に見える URL が用いられる。そして、最終的に悪意のページへと誘導し、認証情報を盗み出すものだ。
偽の著作権侵害通知
研究者たちが発見した Instagram キャンペーンは、ユーザーへのメール送信から始まり、そのユーザーのアカウントが著作権を侵害しているという、苦情が寄せられたという通知を行う。そして、アカウントを失いたくないのなら、Instagram への説明が必要だと、悪意の説得を行うものだ。
自分自身の写真や動画が、他の Instagram ユーザーに使用されていることを発見した場合には、誰もが Instagram に対して著作権違反の報告を行うことが可能だ。それは、この ソーシャルメディア・プラットフォームで頻繁に起こっていることでもある。このキャンペーンの攻撃者は、こうした傾向と動向を悪用して、騙した被害者から認証情報や個人情報を得ようとしていると、Pacag は述べている。
このフィッシング・メールには、Appeals Form へのリンクを示すボタンが含まれ、そのリンクをクリックしてフォームに記入すれば、後に Instagram の担当者から、連絡があることをユーザーに知らせている。
研究者がテキスト・エディターでメールを分析したところ、ユーザーを Instagram のサイトに誘導して正当なレポートを記入させるのではなく、URL リダイレクトを用いていることが判明した。このリンクは、WhatsApp が所有するサイトへの URL リライト/リダイレクトを使用している。具体的には、”hxxps://l[.]wl[.]co/l?u=” の後に、フィッシング URL のクエリー部分である “hxxps://helperlivesback[.]ml/5372823” があると、Pacag は説明している。
彼は、「正規のドメインを使って、このように他の URL へとリダイレクトさせるフィッシングの手口であり、日増しに一般的なものになってきた」と指摘している。
このボタンをユーザーがクリックすると、デフォルトのブラウザが起動し、攻撃者が意図したフィッシング・ページへとリダイレクトされ、いくつかのステップを経た後に、個人情報やパスワードに関するデータが盗まれると、研究者は述べている。
段階的なデータ収集
まず、被害者がユーザー名を入力すると、そのデータはフォームの POST パラメータを介してサーバに送信されると、研究者は述べている。ユーザーに対しては [継続] ボタンのクリックが促され、それが実行されると、入力されたユーザー名が表示され、Instagram のユーザー名を示すために用いられる、[@] 記号が先頭に付けられるようになる。続いて、ページ上でパスワード入力が要求され、そのデータ入力されると、攻撃者が管理するサーバに送信されると、研究者は述べている。
この時点で、典型的なフィッシング・ページとは少し異なる。通常のフィッシング・ページでは、ユーザーがユーザー名とパスワードを適切なフィールドに入力すると、ページが開くと、Pacag は述べている。
しかし、Instagram キャンペーンの攻撃者は、このステップにとどまらず、ユーザーにもう一度パスワードを入力させ、その人が住んでいる都市を尋ねる質問フィールドへの入力が促される。このデータも同様に、POST でサーバに送信される。
最後のステップでは、ユーザーの電話番号の入力が促される。おそらく攻撃者は、Instagram のアカウントで 2FA が有効になっていれば、それを突破するために、このデータを用いるだろうと、研究者は述べている。さらに攻撃者は、ダークウェブ上で一連の情報を販売することが可能であり、その場合には、電話を介して開始される詐欺に使用されるだろうと、彼らは指摘している。
このように、すべての個人情報が攻撃者により収集されると、被害者は Instagram の実際のヘルプページへとリダイレクトされ、詐欺を開始するために使用された、本物の著作権報告プロセスが始まることになる。
新しいフィッシング手法の検出
フィッシング詐欺のキャンペーンにおいて、URL リダイレクトなどの検出回避の手法が用いられるようになり、メールセキュリティ・ソリューションとユーザーの双方にとって、メールの正規/悪意を判別することが難しくなったと、研究者は述べている。
Pacag は、「意図的なフィッシング URL は、URL クエリ・パラメータに埋め込まれているため、大半の URL 検出システムにおいて、この種の不正な行為を特定することは困難だ」と述べている。
常に変化するフィッシングの手口に対して、テクノロジーが追いつくまでの間は、メール・ユーザー自身 (特に企業内において) が、少しでも疑わしいメッセージに対しては強い警戒心を持ち、騙されないようにする必要があると、研究者は述べている。
そのためには、① メールに含まれる URL が送信元である企業やサービスの正規のものであることを確認する、② 従来から通信している信頼できるユーザーからのメール・リンクのみをクリックする、③ メールに埋め込まれたリンクをクリックする前に IT サポートに確認するなどの、方法を取る必要があるだろう。
Instagram というメディアだからこそ、偽の著作権侵害通知という手口が効果を発揮するのでしょう。関連するトピックとしては、2021年11月24日の「Microsoft MSHTML のバグ悪用:Google/Instagram から認証情報などが盗まれる」や、2022年6月26日の「LockBit の最近の戦術:著作権違反を主張する偽のメールに御用心」などがありますので、よろしければ、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.