第二の標的

CISAが確認したサイバー攻撃の中には、フィッシング詐欺も多く発生している。

フィッシング詐欺行為では、クラウドサービスの資格情報(ログインするためのユーザーIDとパスワードなど)を収集するために、悪意あるリンクを含んだフィッシングメールを用いている。この悪意あるリンクは一見すると安全なメッセージを装っており、またファイル共有サービスなどのログイン画面のように見えるメール文章などもある。

万が一、標的となってしまったユーザーがここに資格情報を入力してしまうと、悪意ある者は、盗み出すことに成功した資格情報を用いてクラウドサービスへのログインを試みる。なかには、被害に遭った企業が存在する国とは異なる国からログインを企てている場合もある。しかしこれは悪意ある者たちが自らの所在を偽装するために行っている可能性があり、必ずしも悪意ある者の所在地とは一致しない。

クラウドサービスへの不正アクセスに成功すると、悪意ある者たちは次に、被害に遭った企業や組織内の他のアカウントに対してメールを送り始める。これは、既に盗み出された資格情報を用いて本物のメールアドレスから送られた偽物のメールであるため、受け取った第二の標的がそれを見抜くことは一段と難しくなる。

また、最近ではログインの際にパスワードだけでなく携帯電話のテキストメッセージやトークンなどを用いた複数方法で認証を行う多要素認証(MFA)を用いてセキュリティーを高めている企業も多い。

しかしMFAを用いていた企業であっても、残念ながらこのような被害に遭っている企業をCISAでは確認している。ここでは詳細な手口の説明は割愛するが、おそらくpass-the-cookie攻撃(*2)という手法を用いてMFAによるセキュリティーを回避し、不正アクセスを成功させたのではないだろうか。

*2 https://stealthbits.com/blog/bypassing-mfa-with-pass-the-cookie/

標準機能の悪用

最近では個人所有のスマホなどを直接業務に活用できる場面も増えてきたが、仕事用のメールを携帯メールなどに転送設定し、出先などからでも見られるようにされている方は多いのではないだろうか。この転送設定を変更してしまい、機密情報を盗み出すといった手口もある。

転送設定を悪用することで標的のもとに届いたメールの全てが、悪意ある者の持つメールへと転送されるように設定されるといった被害も発生している。

また全てのメールを転送してしまうと悪意ある者も大変なので、いくつかの財務関連キーワードが含まれていた場合にのみ転送するよう設定するといった手口も取られる。この場合、抽出するキーワードにはスペルミスなども含めておくことで、より精度高く目的のメールを取得しようとしている。

さらには、フィッシング詐欺のメールで警告が表示されてしまわないように、特定のフィッシング関連キーワードを含む場合でもメールが届くように細工されてしまうこともある。あらかじめ用意されている標準機能を悪用される場合もあるのだ。