悪意のある行為者は、フィッシング・キャンペーンで信頼されるブランドになりすまし、メッセージに信憑性を持たせるのが一般的です。実際、フィッシング詐欺の51%以上が、世界20大ブランドのいずれかになりすましています。最新の調査では、そうしたサイバー犯罪者が、もはやブランドになりすますだけでなく、ブランドの正規サービスを悪意のあるペイロードの配信に利用していることが明らかになっています。
2023年フィッシング脅威レポートでは、LinkedInやBaiduのようなブランドの正規サービスを利用して悪意 のあるリンクを送信するフィッシングメールが増加しています。不正アクターはそれらのサービスを悪性Webサイトへのリダイレクトとして利用し、ユーザー資格情報を窃取しようとします。しかも、それらのメールは、Sendgridのような正規のメール配信サービスで送られてくるのです。
このようなキャンペーンで使用される具体的な誘導の仕掛けはさまざまですが、大半のフィッシングは下のような画像を使ってDocuSignになりすましています。この例では、攻撃者は「552 Friday-August-2023 07:07 AM用共有文書」という件名のメールを送信しています。
図1:DocuSignのなりすましメールに使用されたPNG
この不正アクターは、上図のように一見正規に見えるDocuSign署名依頼のPNG画像を使って、人気のある中国の検索エンジンBaidu(下記)にハイパーリンクを張りました:
hxxps://baidu[.]com/link?url=kA8OoWb8zcCGgAUVXbCg8b88McfdEkvKGdPI6TNGeQ3_Ck23j3C1xVZCZ0Wp
HYUJ#targetemailaddress@domain.com
リダイレクト先: hxxps://sfsqa[.]com/284aa1d677ad550714e793de131195df64e907d378280LOG284
aa1d677ad550714e793de131195df64e907d378281
送信者は、正規のビジネスドメイン@ciptaprimayoga.comを使用していました。このドメインはインドネシアのバッテリー会社で、おそらく侵害されたと思われます。攻撃者は、正規のドメインを使用することで、軽減プロセスの一環としてドメイン年齢(作成日)を調べるセキュリティ対策を回避することができるのです。
リンクがクリックされると、受信者の会社がURLパス経由で、カスタマイズされたマイクロソフトのログインページに自動的に表示されます。
調査の一環として悪性リンクをクリックしたところ、Cloudflareのカスタムログインページに、会社ロゴと有名なCloudflareのラバライトの壁の背景画像が動的に表示されました。
図2:Microsoftになりすまし、Cloudflareのブランディングを使って認証情報を窃取するフィッシング
認証情報を入力すると、それを攻撃者が収穫した後、WebサイトはOffice.comへリダイレクトします。
フィッシングメールに悪用される もう1つの人気サービスがSendGrid(下図)です。このメールマーケティング会社は、PayPalの電話詐欺の送信に悪用されています。不正アクターは、SendGridを使用することで、Sender Policy Framework(SPF)、DomainKeys Identified Mail(DKIM)、Domain-based Message Authentication Reporting and Conformance(DMARC)など従来の電子メールセキュリティ手法を回避し、フィッシングキャンペーンに見せかけの信頼性を付与します。
図3:SendGridを使って送信された、PayPalを騙る電話詐欺メール
この種の詐欺は、記載された電話番号に電話をかけるようユーザーを誘導するもので、電話は不正アクターが待ち構えるコールセンターへ転送されます。電話口の不正アクターは、マルウェアをインストールするよう被害者を説得し、銀行情報を盗むのです。
メール認証の89%が脅威を阻止できていません。フィッシングの手口が増え続け、ユーザーの受信トレイに入り込むようになっている今、サイバーレジリエンスを企業文化に根付かせ、メールベースの脅威から組織を守ることがこれまで以上に重要になっています。
Cloudflare Email Securityは、高度な機械学習と人工知能を使って、従来のセキュリティやクラウドメールプロバイダーを迂回するために不正アクターが使用する新たな手口を、リアルタイムで暴きます。現在お使いのメールセキュリティシステムがどのようなフィッシング攻撃を見逃しているかを確認するために、無料のフィッシングリスク評価をご依頼ください。
この記事は、技術関連の意思決定者に影響を及ぼす最新のトレンドとトピックについてお伝えするシリーズの一稿です。
2023年フィッシング脅威レポートでは、最近のトレンドに関する調査結果の詳細と攻撃を成功させないための推奨事項をご覧いただけます。
Maaz Qureshi
脅威レスポンスエンジニア、Cloudflare
この記事では、以下のことがわかるようになります。
正規のサービスが悪意のあるペイロードの配信に利用されている
メール認証の89%は脅威を阻止できていない
従来のセキュリティを迂回する新手口を暴く先制的メールセキュリティとは?