フィッシング
フィッシングサイト構築にクラウドサービスを利用する手口を連続して確認
トレンドマイクロのリサーチャーは、認証情報をフィッシングするページをホストするため、様々なクラウドサービスのプラットフォームを悪用する活動を確認しました。
トレンドマイクロのリサーチャは、認証情報を詐取するフィッシングページをホストするため、様々なクラウドサービスのプラットフォームを悪用する活動を確認しました。悪用されたサービスとしては、ノート機能のクラウドサービスである「Evernote」をはじめ、画像編集サイト「Canva」、インフォグラフィックおよびチャート作成サイト「Infogram」、ブランドテンプレートプラットフォーム「Lucidpress」など、複数の共有プラットフォームがありました。
■クラウドサービスの悪用事例:Evernote
Evernote ノートブックは、プラットフォーム内やパブリックリンクを利用した情報共有が可能です。 サイバー犯罪者は、この共有機能に目を付け、フィッシングメールを介して不正なPDFファイルを拡散するために悪用しました。
図1:Evernoteを悪用するフィッシングメールの例
この攻撃で使用されたフィッシングメールの件名は「Azure経由で文書を共有」となっていますが、実際にはEvernoteのページへつながるリンクを含んでいます。リンク先のページには、文書ファイルをダウンロードまたはプレビューするためのリンクがあり、ユーザに対しクリックするように求める表示となっています。
図2:文書をダウンロードまたはプレビューするように求めるリンク
そして「「Secured Microsoft Azure for OneDrive Cloud」によりファイルを共有する」という名目の文が表示されており、「Download or Preview here(ここからダウンロードまたはプレビューする)」リンクをクリックすると、Microsoftアカウントのログインページを装ったフィッシングページが表示されます。
図3:偽のMicrosoftログインページ
アカウント認証情報を入力すると、誤ったアカウントまたはパスワードが入力されたことがユーザに通知され、認証情報を再入力するよう求められます。
図4:認証情報を再入力するように求める通知
■メールヘッダの分析
「SPF(Sender Policy Framework )」は電子メールの送信元ドメインが詐称されていないかを確認し、「DMARC(Domain-based Message Authentication, Reporting, and Conformance)」は電子メールの送信元のドメインを認証する技術です。今回使用された電子メールのヘッダから、メールはSPFとDMARCによる認証を通っていることがわかります。この電子メールの送信者はハッキングされている可能性があり、侵害されたアカウントがフィッシング電子メールの送信に使用されています。
図5:SPFおよびDMARCによる認証を示す電子メールのヘッダ分析
リサーチャが送信者のIPアドレスを特定したところ、このIPアドレスにはリモート デスクトップ プロトコル(RDP 、Remote Desktop Protocol)ポートがオープンされていることと共に、他のフィッシングメールの送信者にも関連していることがわかりました。また、 フィッシングメールの件名は複数ありましたが、以下のようなパターンに従っているものと考えられます。
- < メールアカウント> Shared Doc Via Microsoft Azure 14 Feb 2020
(訳:Microsoft Azure経由の共有ドキュメント、2020年2月14日) - < 個人名> Shared Doc Via Microsoft Azure 12 Feb 2020
(訳:Microsoft Azure経由の共有ドキュメント、2020年2月12日)
■その他のクラウドサービス悪用事例
また、リサーチャは、画像編集サイト「Canva」、インフォグラフィックおよびチャート作成サイト「Infogram」、ブランドテンプレートプラットフォーム「Lucidpress」を悪用するフィッシング活動も確認しました。この活動で見られたフィッシングメールやフィッシングサイトは、Microsoft製のコラボレーションツールである「Microsoft SharePoint」を偽装するものとなっています。
図6:Canva上に作られたフィッシングサイト例
図7: Infogram上に作られたフィッシングサイト例
図8:Lucidpress上に作られたフィッシングサイト例
サードパーティの情報元によれば、Microsoft SharePointとコンテンツ作成アプリケーション「Microsoft Sway」を悪用した同様の攻撃が以前に報告されています。
■共有プラットフォームの保護
ますます多くの攻撃者が正規のクラウドサービスを悪用し、認証情報のフィッシング活動を行なっています。企業は、このような攻撃による脅威を小さくするためのベストプラクティスを講じることを検討しましょう。フィッシング攻撃の被害に遭わないために、以下のベストプラクティスを講じることを推奨します。
- 見知らぬソースからのリンクをクリックしたり、ファイルをダウンロードしないようにしましょう
- URLをクリックする前に、きちんとURLを確認しましょう。 リンクの上にカーソルを置くと、予想しないページが表示される場合があります
- 文法の間違いや誤字に注意しましょう
- 機密情報を要求するメールには注意しましょう
トレンドマイクロが提供するメールおよびコラボレーションセキュリティは、フィッシング攻撃に対する保護を強化するのに役立ちます。
参考記事:
翻訳: 下舘 紗耶加(Core Technology Marketing, Trend Micro™ Research)