DocuSign Brand Impersonation Attack Bypasses Security Measures, Targets Over 10,000
2023/01/31 InfoSecurity — DocuSign ブランドに成りすます攻撃が発生し、ネイティブ・クラウドおよびインラインにおけるメール・セキュリティ・ソリューションを回避し、複数の組織の1万人以上のエンドユーザーを標的にしていることが確認された。この発見は、Armorblox のセキュリティ研究者たちによるものであり、電子メールを通じて InfoSecurity と共有されたアドバイザリで、この新しい脅威について説明している。
このアドバイザリには、「このメールは DocuSign からの正当な通信のように見えるが、送信者名は攻撃者により操作されている。この電子メールのアドレスとドメインは、同社との関連性を示していないが、モバイル・デバイスでは分かりにくいという問題がある」と記されている。
さらに Armorblox は、DocuSign の正規のインスタンスからの、一般的なワークフロー・アクションを装う、この電子メール攻撃の特徴を指摘している。通常の DocuSign 操作では、文書が完成した後に、署名者に電子メールが送信される。この攻撃 における成りすましメールは、慣れ親しんだものへの信頼感を悪用するものである。
Armorblox リサーチ・チームの分析によると、この攻撃者は悪意のあるメールを送信するために、有効なドメインを使用している。そして送信者ドメインは、DKIM Alignment チェックに失敗するが、確立したドメインに対する信頼できる評価スコアを受け取っている。
フィッシング・メール内の悪意のリンクをクリックした被害者は、Proofpoint のユーザー認証情報を流出させるために作られた、偽のランディング・ページにリダイレクトされる。
Armorblox によると、この攻撃は Microsoft Office 365 と Proofpoint の電子メール保護ソリューションを迂回したが、同社の電子メール攻撃防止ソフトウェアにより阻止されたとのことだ。
Armorblox は、自然言語理解 (NLU) を用いて電子メールの内容と文脈を理解し、悪意判定のフラグを立てることで、この脅威を発見きたと述べている。
その他のフィッシングのニュースとして、2022年 Q4 に最も模倣されたブランドは、DHL に代わって Yahoo であり、偽ブランド・メールの 20% を記録したと、Check Point の最新レポートが指摘している。
DocuSign は電子署名ソリューションであり、さまざまなビジネスにおいて利用されているはずです。そして、署名すべきドキュメントの交換が不可欠であり、その習慣を悪用する攻撃手法が登場したことになります。届きそうなメールを待っているときに、それを装う偽メールが届くと、かなりの確率で騙されるはずです。文中にもあるように、モバイル・デバイスでは正真性が確認しにくいとのことですので、大事なビジネス文書は、画面の大きい PC で確認したほうが良さそうですね。
IoT OT Security News 
You must be logged in to post a comment.