Microsoft Visio でフィッシング攻撃:巧妙な手口でセキュリティ対策を回避していく

Microsoft Visio Files Used in Sophisticated Phishing Attacks

2024/11/11 InfoSecurity — Microsoft Visio ファイルを悪用する、二段階のフィッシング攻撃の急増を、セキュリティ研究者たちが確認した。この攻撃が示すのは、フィッシング戦術の高度な進化である。Perception Point により発見された、この新しい攻撃では、ビジネス・ダイアグラムで多用されるファイル・タイプである、Visio の “.vsdx” 形式を介して 悪意の URL を偽装し、従来のセキュリティ・スキャンを回避するものだ。

フローチャートやネットワーク・ダイアグラムで多用される Microsoft Visio が、フィッシング・キャンペーンの欺瞞ツールになっている。Visio ファイル内に URL を埋め込むという手口で、このプラットフォームが悪用されている。この戦術は、Microsoft ツールに対するユーザーの信頼を利用するものであり、セキュリティ・システムを巧みに回避する方法を作り出す。

PDF や Word などの、一般的な添付ファイルとは異なり、Visio ファイルを脅威としてフラグ付けするケースは稀であるため、フィッシング・リンクを配信する理想的な手段となっている。

攻撃の仕組み

Perception Point の研究者たちは、この攻撃フローについて、以下のように概説している:

  • 侵害されたアカウント:メール・アカウントを掌握する攻撃者は、本物の信頼できるアカウントからフィッシング・メールを送信し、確実に認証チェックをパスする。
  • メールの内容:それらの悪意のメールに添付されるファイルは、提案書や注文書などの正当な文書を装う “.vsdx” または “.eml” ファイル (Outlook のメール・メッセージ) の形式である。
  • Visio ファイルの配信:メールのリンクをクリックすると、Visio ファイルをホストしている Microsoft SharePoint ページに移動する。そのファイルには、侵害された組織のブランドが表示されている場合もある。
  • Visio に埋め込まれたリンク:通常では、[ドキュメントの表示] ボタンに偽装されたクリック可能なリンクが、Visio ファイル内に組み込まれている。ユーザーは、”Ctrl” キーを押しながらクリックするように指示される。それは、自動セキュリティ・ツールを回避する微妙なプロンプトである。

これらの一連の指示にユーザーが従うと、偽の Microsoft ログイン・ページにリダイレクトされ、資格情報が盗まれる。

信頼されるプラットフォームを悪用するフィッシング攻撃が増加の傾向

先日に Perception Point は、Visio ベースのフィッシング攻撃が著しく増加したことを検出した。この手口は、一般的なファイル・タイプを悪用する、通常の方法とは大きく異なる。

同社によると、SharePoint や Visio などの信頼できるプラットフォームへと、脅威アクターたちの標的が移行している。これらのプラットフォームを操作する攻撃者たちは、詐欺の手口を追加し、検出率を低下させる。

Microsoft は、この問題を認識しており、フィッシング詐欺における自社ツールの悪用について、ユーザーの意識を高める必要があることを強調している。

Perception Point は、「先日に Microsoft は、フィッシング・キャンペーンで自社のサービスが悪用されていることを認めた。それが浮き彫りにするのは、憂慮すべき状況と動向である。SharePoint や Visio などの信頼できるプラットフォームやファイル形式を悪用する、二段階のフィッシング攻撃が一般的になり始めている。これらの多層的な回避戦術は、使い慣れたツールに対するユーザーの信頼を悪用しながら、標準的な電子メール・セキュリティ・プラットフォームによる検出を回避する」と警告している。

このような脅威から身を守るために、それぞれの個人にとって必要なことは、添付ファイルを開く前に送信者の身元を確認し、アカウントを保護するために多要素認証を有効化することである。

また、組織としては、ユーザーがフィッシングの手口を認識できるようにするために、定期的なサイバー・セキュリティ・トレーニングの実施などの、重要なセキュリティ対策を講じる必要がある。

さらに、Visio ファイルなどの、通常とは異なるファイルの種類を監視する、高度なメール・セキュリティ・ソリューションを実装すれば、進化するフィッシング・スキームに対する保護を、さらに強化できる。

手を変え品を変え、攻撃を拡大させているフィッシング・アクターたちですが、Visio ファイルをルアーに加えたようです。それにより、Visio に未対応のセキュリティ防御が回避される恐れがあるとのことです。ご注意ください。よろしければ、Phishing で検索も、ご参照ください。