Instagram を装うフィッシング攻撃:Microsoft のメール・セキュリティを回避して到達

Instagram Credential Phishing Attacks Bypass Microsoft Email Security

2022/11/18 InfoSecurity — Instagram になりすましたキャンペーンにおいて、国立教育機関の学生 22,000人をターゲットにしたクレデンシャル・フィッシング攻撃が発見された。この情報は、Armorblox のセキュリティ専門家たちによるものであり、2022年11月17日のアドバイザリで新たな脅威として警告されている。 その内容は、「このメールのタイトルは、標的に対してメッセージを開くように促している。そして、ターゲットに切迫感を訴え、将来の被害を防ぐために必要な、行動をとるよう誘導していく」というものだ。


そのメールの、送信者の名前やメールアドレスは、Instagram のサポートから来たように見え、実際の Instagram 認証情報とも一致していた。

研究者たちは、「この標的型メール攻撃は、Instagram からの正当なメール通信であるという信頼度を植え付けるために、受信者の固有の情報 (Instagram ハンドルなど) を含む、ソーシャル・エンジニアリングが施されていた」と述べている。

それらのメール内のリンクをユーザーがクリックすると、Instagram ブランディングされた偽のランディング・ページが開き、異常なログイン試行が検出されたというメッセージと、[This Wasn’t Me] ボタンが表示される。

このボタンをクリックした被害者は、機密性の高いユーザー情報を流出させるために設計された、2つ目の偽ランディング・ページへと誘導される。

Armorblox は、「このメール攻撃は、主として言葉を用いた攻撃経路を持ち、Microsoft のメール・セキュリティ制御をバイパスしている。つまり、この攻撃は、2つの電子メール認証チェックである、SPF (Sender Policy Framework) と DMARC (Domain-based Message Authentication, Reporting, and Conformance) を通過している」と説明している。

Cerberus Sentinel の biometrics specialist である Sami Elhini の指摘は、電子メールの送信元が有効なドメインであることを確認すべきだが、電子メールの送信元ドメインの詳細まで、さらに精査する必要がある。

Sami Elhini は、「このケースでは、Instagram のドメインが instagram.com であることから、instagramsupport.net からのメールは疑わしいと考えるべきだ。サービス・プロバイダーからのサポートに対して、どのような行動が適切なのか分からない場合には、サポート窓口にダイレクトに連絡するのが望ましい」と語っている。

KnowBe4 でセキュリティ意識の向上を提唱する Erich Kron は、Elhini の指摘に賛同している。彼は、「ユーザー・インターフェイスに慣れ、テクノロジーを操れるからといって、リスクを完全に理解しているとは言えない。現代のデジタル世界では、この種のソーシャル・エンジニアリング攻撃を見抜く方法を、常に学んでおくことが極めて重要だ」と述べている。

先日には、ナイジェリアの Instagram インフルエンサーが、多数のサイバー犯罪の収益を洗浄した罪により、11年以上の禁固刑を言い渡されている。今回の、Armorblox のアドバイザリは、その数日後に発表されている。

この Instagram を装うフィッシングですが、似たような手口が 10月28日の「Instagram ユーザーを狙う新手のフィッシング:著作権違反を示唆する通知に要注意」でも紹介されていました。この 10月のときは、「あなたのアップした画像に著作権違反の疑いがあります」とし、今日の記事にある 11月の攻撃では「あなたのアカウントが不正にアクセスされている疑いがあります」とし、どちらも切迫感を煽るところからスタートしています。なお、今回の記事では、Instagram のハンドル名が用いられ、SPFと DMARC を通過している点が、進化しているポイントなのだろうと思います。

%d bloggers like this: