ホーム » サイバー犯罪 » スパムメール » フィッシングサイト構築にクラウドサービスを利用する手口を連続して確認

フィッシングサイト構築にクラウドサービスを利用する手口を連続して確認

投稿日:2020年5月11日
脅威カテゴリ:スパムメール
執筆:Trend Micro

トレンドマイクロのリサーチャは、認証情報を詐取するフィッシングページをホストするため、様々なクラウドサービスのプラットフォームを悪用する活動を確認しました。悪用されたサービスとしては、ノート機能のクラウドサービスである「Evernote」をはじめ、画像編集サイト「Canva」、インフォグラフィックおよびチャート作成サイト「Infogram」、ブランドテンプレートプラットフォーム「Lucidpress」など、複数の共有プラットフォームがありました。

■クラウドサービスの悪用事例：Evernote

Evernote ノートブックは、プラットフォーム内やパブリックリンクを利用した情報共有が可能です。サイバー犯罪者は、この共有機能に目を付け、フィッシングメールを介して不正なPDFファイルを拡散するために悪用しました。

この攻撃で使用されたフィッシングメールの件名は「Azure経由で文書を共有」となっていますが、実際にはEvernoteのページへつながるリンクを含んでいます。リンク先のページには、文書ファイルをダウンロードまたはプレビューするためのリンクがあり、ユーザに対しクリックするように求める表示となっています。

そして「「Secured Microsoft Azure for OneDrive Cloud」によりファイルを共有する」という名目の文が表示されており、「Download or Preview here（ここからダウンロードまたはプレビューする）」リンクをクリックすると、Microsoftアカウントのログインページを装ったフィッシングページが表示されます。

アカウント認証情報を入力すると、誤ったアカウントまたはパスワードが入力されたことがユーザに通知され、認証情報を再入力するよう求められます。

■メールヘッダの分析

「SPF（Sender Policy Framework ）」は電子メールの送信元ドメインが詐称されていないかを確認し、「DMARC（Domain-based Message Authentication, Reporting, and Conformance）」は電子メールの送信元のドメインを認証する技術です。今回使用された電子メールのヘッダから、メールはSPFとDMARCによる認証を通っていることがわかります。この電子メールの送信者はハッキングされている可能性があり、侵害されたアカウントがフィッシング電子メールの送信に使用されています。

リサーチャが送信者のIPアドレスを特定したところ、このIPアドレスにはリモートデスクトッププロトコル（RDP 、Remote Desktop Protocol）ポートがオープンされていることと共に、他のフィッシングメールの送信者にも関連していることがわかりました。また、フィッシングメールの件名は複数ありましたが、以下のようなパターンに従っているものと考えられます。

< メールアカウント> Shared Doc Via Microsoft Azure 14 Feb 2020
（訳：Microsoft Azure経由の共有ドキュメント、2020年2月14日）
< 個人名> Shared Doc Via Microsoft Azure 12 Feb 2020
（訳：Microsoft Azure経由の共有ドキュメント、2020年2月12日）

■その他のクラウドサービス悪用事例

また、リサーチャは、画像編集サイト「Canva」、インフォグラフィックおよびチャート作成サイト「Infogram」、ブランドテンプレートプラットフォーム「Lucidpress」を悪用するフィッシング活動も確認しました。この活動で見られたフィッシングメールやフィッシングサイトは、Microsoft製のコラボレーションツールである「Microsoft SharePoint」を偽装するものとなっています。