トレンドマイクロは、テレワーク（在宅勤務）で使用されるツールに便乗する複数の脅威を確認したといいます。その手口はどのようなものなのでしょうか？　トレンドマイクロセキュリティブログからその手口を学びます。

サイバー犯罪者は、メール、コラボレーション・プラットフォーム、そしてビデオ会議アプリを偽装したフィッシングサイト上で、ユーザが認証情報を入力するように誘導します。これらは新しく発見された脅威ではありませんが、現在私たちが置かれている状況とこれまでの経験により、より良い対策を講じる必要性が高まっています。

長年にわたり、サイバー犯罪者は認証情報のフィッシングを目的としたキャンペーンの拡散に積極的に取り組んできました。トレンドマイクロの「2019年Trend Micro Cloud App Security レポート」によれば、2019年における認証情報を狙うフィッシング攻撃の総数は、前年比で35％増となりました。このようなフィッシング攻撃の増加傾向の中で、攻撃者はセキュリティソフトウェアによる検出を回避するために新規のフィッシングサイトを継続的に作成している状況も見て取れています。

このような認証情報を狙うフィッシング攻撃は、トレンドマイクロのメール・コラボレーションセキュリティ製品である「Trend Micro™Cloud App Security™」でも検出およびブロックしています。ここで確認されたフィッシング攻撃は、2018年の下半期では150万件であったものが、2019年の上半期には240万件にのぼり、59％増加しました。

今回、トレンドマイクロは、多くの企業がテレワークで使用するいくつかのツールの認証情報を狙うフィッシング攻撃の状況を調査しました。具体的には、Microsoft社が提供するWeb版「Outlook（旧Outlook Web Access）」と「SharePoint」のようなOffice 365アプリケーション、そしてビデオ会議アプリ「WebEx」と「Zoom」を対象としました。

■Web版OutlookとOffice 365を偽装するフィッシング活動

OutlookおよびOffice 365を利用する認証情報のフィッシング活動は、複数の国でユーザを欺き、その影響を与えています。”Outlook”や”Office 365”などの文字列をURLに使用したフィッシングサイトについて、トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network（SPN）」のデータを確認したところ、実際にOutlook Web Access（Web版Outlook）のログイン画面を偽装したサイトが確認できました。

図1：Web 版Outlookの偽ログインページ例

従業員は、通常オフィス内でOutlookのメールボックスを利用しますが、オフィス外からメールボックスにアクセスする際にWeb 版のOutlookを使用する従業員もいます。Office365やGmailなども含め、このように普段からクラウドメールサービスの形式で利用している場合、Web経由でのログインに不信感を抱かない可能性が高まります。そのため、Web 版を使用している利用者は特にフィッシングに注意する必要があります。

また、多くの従業員が、Office 365を通してファイルにアクセスし、オンライン上で共同作業を行っています。このOffice 365のログインページを偽装するフィッシングサイトも囮としてフィッシングキャンペーンで使用されています。2019年Trend Micro Cloud App Security レポートによれば、SPNのデータから、2019年にブロックされたOffice 365に関連するユニークなフィッシングリンクの数は、2018年に確認された合計の2倍以上に急増したこともわかりました。また、これらの脅威は通常のユーザのみならず、管理者アカウントを保持するユーザも狙っていることがわかりました。

図2：偽のMicrosoftログインページ

■WebExとZoomを偽装するフィッシング活動とその他の脅威

テレワークにおいては、従業員間のより良いコミュニケーションを図るためにもビデオ会議アプリの利用頻度が増えます。サイバー犯罪者はこの環境を利用して、ビデオ会議アプリに偽装した攻撃を試みます。攻撃者は、WebExやZoomなどのビデオ会議アプリを囮に利用するフィッシング活動を展開します。また、フィッシング以外に、アドウェア、暗号通貨発掘ツール、その他のマルウェア、詐欺などの脅威も、これらのアプリを偽装してユーザを騙します。

SPNで検出されたWebEx やZoomなどの文字列を含む不正なURLの中では、直接的にZoomやWebExのログインページを偽装したフィッシングサイトも確認できました。

図3：ビデオ会議アプリ「WebEx」のログインページに偽装したフィッシングサイトの例

図4：Zoomログインページに偽装したフィッシングサイトの例

こういったアプリケーションを利用してユーザを騙そうとする他の脅威には、不正ドメインや偽アプリを使用するものがあります。攻撃者は、正規のサイトを侵害するか、またはフィッシングページをホストする不正ドメインを作成します。これらのIPアドレスをホストするドメイン元の位置を追跡したところ、米国が833件で、ユニークなIPアドレスの数が最も多いことがわかりました。

■被害に遭わないためには

攻撃者は、認証情報を狙ってフィッシングページを拡散させる手法の一つとして、メールを利用します。 フィッシングの脅威を防ぐために、以下のベストプラクティスを講じることを推奨します。

• 不審な送信元からのメールに記載されているリンクをクリックしないようにしましょう
• メールに埋め込まれたURLにマウスポインタを合わせて確認しましょう。 こうすることで、URLが意図しない別のページにつながることが判明する場合があります
• 文法上の間違いや誤字に注意しましょう。これは、大抵の場合、不審な送信元からのメールである可能性を示しています
• ログインページが正規のものに見える場合でも、URLを調べて正規のログインページであるかどうかを確認しましょう
• 機密の個人情報をオンライン上で共有しないようにしましょう

”当たり前”と思われることも多いのですが、何気ない作業の中で忘れがちでもあります。
意識を高めておくことで、普段は気が付かないことも見えてくるかもしれません。

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/25129