Disney+ Cyber Scheme Exposes New Impersonation Attack Tactics
2023/12/05 InfoSecurity — サイバー攻撃におけるブランドへのなりすましが、新たなレベルに達していると、Abnormal Security の最新調査が示している。これまでにおいて、金融機関やソーシャルメディアで確認されていた、高度にパーソナライズされた多段階攻撃を、いまの脅威アクターたちは採用しているようだ。Abnormal の CISO である Mike Britton が発表した研究結果では、人気のストリーミング・サービスの Disney+ になりすました脅威アクターが、巧妙な手口で攻撃を仕掛けている事例が明示されている。
細部にまで注意を払った攻撃
Disney+ の新規契約に関する保留中の請求について、自動生成される通知メールを介して、サイバー犯罪者たちは攻撃を開始する。それらのメールに添付された PDF には、受信者の名前が付けられているが、手作業が必要になるという稀な手口である。この PDF には、通常の購読料を上回る $49.99 という請求の詳細が記載されており、また、正当なカスタマー・サポート・サービスに見える番号が添えられていた。
特筆すべきは、Disney+ の正規のアドレスとブランド・カラーを装うメールで、パーソナライズされた件名や挨拶が用いられるというレベルが、典型的な手口を超えていたことだ。
それらのメールには誤字脱字がなく、また、マルウェアが仕込まれた添付ファイルなどの、フィッシングを疑わせる兆候もないため、従来のセキュリティ・ソリューションによる検出は困難であり、また、人の目を欺こくとも容易だったという。
Britton は、「この攻撃の特徴は、犯人が採用したパーソナライゼーションのレベルと細部への注意である。それにより、従来のセキュリティ・ソリューションや警戒心の強い個人でさえも、悪意のメールであることの見分けが困難になっていた。2023年9月下旬の初期調査によると、この Disney+ なりすまし攻撃で、22 の異なる組織に所属する 44 人を標的にされていた」と述べている。
Abnormal のアドバイザリでは、この攻撃の技術的な詳細は明確に説明されていない。しかし、そこで用いられた主な攻撃ベクターとしては、なりすまし電子メール/フィッシング/添付ファイルなどに加えて、ブランドのなりすますソーシャル・エンジニアリングが組み合わされていたようだ。
この調査では、SEG (Secure Email Gateway) による検出が困難であると強調されている。なぜなら、明確な IOC (indicators of compromise) が存在するものではなく、また、ドメインを評価するためには過去の履歴データに依存せざるを得ないからである。
その一方で、信頼できるブランドになりすまし、請求書などで切迫感を煽る脅威アクターという難題に、それぞれの企業の従業員たちは直面している。
この研究論文で推奨されているのは、AI ネイティブの電子メール・セキュリティ・ソリューションにより、機械学習/行動 AI/コンテンツ分析を採用し、 この種の攻撃に対抗していくことである。
かなり、手の込んだフィッシング・キャンペーンであり、22 の異なる組織に所属する 44 人を標的にしていることから、重要な人物に標的を絞り込んだ攻撃であることが分かります。そして、Disney+ を装う詐欺であることから、家庭におけるアカウントから、標的の組織を狙うという試みが推測されます。この記事を訳していて思い出したのは、2023/03/07 の「LastPass ハッキングの全容を解明:エンジニアの自宅のメディアサーバが侵入経路だった」という記事です。よろしければ、Phishing で検索と併せて、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.