トレンドマイクロでは2020年5月以降、企業の経営幹部を標的とする高度化したフィッシングキャンペーンの追跡調査を行なっている。
攻撃者はWebサイトを侵害してフィッシングサイトを構築し、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的に攻撃を行なっている。トレンドマイクロが調査を行った時点で、既にこの攻撃に関連する300以上のフィッシングサイトのURLを確認し、さらに8つのフィッシングサイトからは約70の被害者のメールアドレスと盗まれたパスワード情報を発見されている。
以前であれば、日本語化の手間などから世界的な流行とは時差があったが、昨今のAI翻訳やビジネスのグローバル化なども有り、日本においても他人事ではない。

追跡調査の結果から明らかになったフィッシングキャンペーンの手口や背後に潜む攻撃者・開発者について調査した結果をセキュリティブログより紹介する。

 

侵害されたインフラを利用して誘導するフィッシング手口

トレンドマイクロは、攻撃者がフィッシングメール（図1）を用いてフィッシングサイト訪問者の認証情報を狙っていることを確認しました。このメールには、偽のOffice 365の画像と共に現在設定しているパスワードの有効期限が切れるという内容が記されています。さらに、同じパスワードを継続して利用したい場合はメール内に埋め込まれたリンクをクリックするようメール受信者に促し、メール内に埋め込まれたリンクをクリックさせようと試みます。図1の[ KEEP PASSWORD ]（パスワードを維持する）ボタンを選択すると、メール受信者はフィッシングサイトに誘導されます。

図1：キャンペーンの誘導手口に用いられたフィッシングメールの例

攻撃者は侵害されたインフラストラクチャや被害者のアカウントの認証情報を再利用してフィッシングサイトを構築し、より多くのサイト訪問者から認証情報などを詐取していることが2020年にサイバーセキュリティ企業「odix社」から報告されています。このフィッシングキットは、埋め込まれたリンクを介してサイト訪問者が認証情報を入力すると、入力された認証情報の詳細と正確性を検証することができます。

トレンドマイクロがアンダーグラウンドの状況を調査したところ、サイバー犯罪者が最高経営責任者（CEO）、最高財務責任者（CFO）、財務部門を担当する責任者などのアカウント認証情報を販売すると謳う複数の広告を確認しました。これらの投稿は、他のフォーラム利用者の広告に類似する投稿が確認されたアンダーグラウンドフォーラムを含む、英語とロシア語話者のフォーラムで複数見られました。特筆すべき点は、ロシア語話者のフォーラム上の投稿はすべて英語でやり取りが行われ、最近登録されたアカウントが用いられていることです。弊社はこれらのフォーラム利用者が、侵害されたMS Office 365アカウントの認証情報や各役員の会社での役職情報を提供していることを確認しました。

図2：侵害されたアカウントの認証情報を提供するアンダーグラウンドフォーラムのメッセージの例

 

攻撃に利用されたフィッシングキット

このキャンペーンの背後にいる攻撃者は、キャンペーン実施期間中、同じフィッシングキットを使用していました。弊社は、フィッシングキットが格納された不正サイトのいくつかが適切に設定されていないことを発見しました。このため、ディレクトリのコンテンツが露呈した状態となり、認証なしでフィッシングキット自体とそのログファイルをダウンロードすることができました。これによりキャンペーンに関する詳細を解明できたほか、それぞれの不正サイトからフィッシングキットの開発者に関するとみられる情報の痕跡を見つけることができました。

この発見により、キット開発者の過去のプロジェクトが、後にアンダーグラウンドで販売される偽のOffice 365フィッシングキットの前身となる機能を提供していた可能性が判明しました。しかし、開発者のプロフィールをさらに深堀調査していくうちに不可解な点を確認したことから、真相を明らかにするにはさらなる技術的・法的な調査が必要と考えています。

図3：ログファイル内から発見された開発者情報とみられる記述

図4：設定が適切でなかったため確認することができたログファイルには、メール受信者が誘導されたフィッシングサイトおよびその個人を特定できる情報（電子メール、パスワード、都市名、システム情報など）が詳細に記されている

 

第三者のRDPを利用してフィッシングメールを拡散

誘導手口に利用されたメールサンプルのSMTPのヘッダ情報を調べたところ、フィッシングメールのほとんどは、VPS運営企業「FireVPS社」が提供する仮想プライベートサーバ（VPS）を経由して送信されていたことが判明しました。

「FireVPS社」は、仮想専用サーバー(Virtual Private Server)としてリモートデスクトップの各種プランを提供する企業です。上記の通り、攻撃対象者に送られたフィッシングメールは、FireVPSが提供するRDPサービスを介して送信されていました。

FireVPS-RDP端末から送信された別のメールも調査したところ、似たようなテンプレートのフィッシングメールも見つかりました。このフィッシングメールは財務部門の担当者に送信されたもので、そのURLにはメール受信者の個人情報と認証情報が含まれていました。この個人情報とメールアドレスは、メール受信者のLinkedInアカウントに記載されている公開情報と一致していました。

 

フィッシングキットに登録されたブロックリスト

フィッシングキット開発者は、キット内に追記したブロックリストのコンパイルにかなりの時間を費やしたと考えられます。このキットは、広範囲にリストアップしたドメイン名やIPアドレス範囲によってセキュリティ企業や大規模なクラウドプロバイダからアクセスがあった場合にアクセスをブロックできるようにしています。このブロックリストには、Google、Microsoft、VirusTotal、その他のサイバーセキュリティやテクノロジー企業、および一般公開されている不正サイトのブロックリストなど、多くのウイルス対策ソフト提供企業の情報が含まれていることから、セキュリティベンダによる検知を回避することが目的であると推測されます。

図5：キット開発者がブロックリストに特定のIPアドレスを追記して検出回避を試みたと推測される記述

 

フィッシングキットの旧バージョン

今回のキャンペーンで確認されたフィッシングキットは、ツールキットとして3回のアップデートが加えられ、現在は第4バージョン（V4）となっています。旧バージョンはアンダーグラウンドやソーシャルメディア内で大々的に宣伝されていたことから、サイバーセキュリティコミュニティでは注目されており知名度のある商品です。

Facebook上のキット開発者のビジネス用ページによると、フィッシングキットの第1バージョンは2019年7月4日にリリースされ、まもなくその15日後に第2バージョン（V2）がリリースされました。第3バージョン（V3）は、Facebookページ上での公式発表はありませんでしたが、インターネット検索では存在を見つけられたことから一般に流通していることが確認できました。

図6：キット開発者が自身のソーシャルメディアページ上で偽のOffice 365フィッシングキットのV2を宣伝している一例

図7：フィッシングキットのV2とV3は過去数カ月間の投稿が確認されている

誘導手口のほとんどは、メール受信者に現在のパスワードを維持するよう促すことです。キャンペーンのパターンを見ると、フィッシングメールに書かれているURLには侵害されたWebサイトのURLにメール受信者のメールアドレスのドメイン名がサブドメインとして含まれており、その後にメール受信者のメールアドレスがBase64でエンコードされた文字列が続いています。（メールアドレスは必ずしもBase64でエンコードされている必要はなく平文である場合も観測しています。）

メール受信者がパスワードの維持を選択すると、メールに書かれたURLに接続した後、実際のフィッシングサイトにリダイレクトされます。弊社は2020年8月から、リダイレクト先のURLに「OfficeV4」というキーワードが含まれていることを確認しています。

9月までは被害者のドメイン名がまだ含まれていましたが、接頭辞が「sg」から「pl」、「00」、あるいは「ag」に変更されていました。10月に確認された別の変更点として、サブドメインには各ドメイン名の代わりに被害者の名前が含まれていました。

図8：キャンペーンに用いられたドメインの一例

図9：全バージョンに共通する誘導手口：埋め込まれたリンク上をクリックして現在のパスワードを維持するようメール受信者に促すメッセージ

 

最新バージョンのフィッシングキットの特徴

ブロックリストとは別にV4に追加された他の機能がこのキットの検出を難しくしています。その中でも、ボットのスキャンやURLのクロールを検出し、ボットが検出された場合に代替コンテンツを提供する機能があります。以下に示す図10は、キット開発者のFacebookページ上に一覧表示されているV4の機能の一部です。

図10：ソーシャルメディア上に投稿されたフィッシングキット「Office 365 V4」の特徴の一部

さらに、このフィッシングキットはライセンス付きで販売されており、難読化されたPHPスクリプトが開発者のシステムにコールバックしてライセンスの有効性を確認します。フィッシングページがコールバックするライセンスサーバのURL/IPはフィッシングキットのconfig.php内に見えています。興味深いことに、config.phpファイルが実際のフィッシングサイト上で確認することができるケースがあり、その中には実際のライセンスキーとメールアドレスを見ることができました。

図11：PHPによるライセンスの有効性の確認

図12：フィッシングサイト上で確認可能な設定ファイル

我々は回避技術が今後も変化していくと予測しており、さらに追加されるであろう機能を追跡するために継続して調査していきます。

 

フィッシングキットの開発者を追跡調査

偽のOffice 365の開発者と思われる人物は2020年半ばに、自身の管理するFacebookのビジネス用ページ上でV4フィッシングキットが発売されることを発表しました。

図13：フィッシングキット開発者と思われる人物が、自身の管理するFacebookのビジネス用ページ上でV4フィッシングキットの発売を発表している

また、V4発表の1日前に記録されたテストトラフィックと思われるログを観察できました。記録されたログのほとんどはモロッコのIPアドレスからのものでした。

図14：アクセスログから、発表前日に使用されたIPアドレスを特定することができました。使用された上位5つのIPアドレスはモロッコのものでした

V4の発売が発表された数日後、弊社は誘導に利用されるメールのサンプルを発見しました。メールヘッダの詳細を見てみると、11月と12月に確認されたフィッシングメールのサンプルと一致していました。

このFacebookアカウントの過去の投稿をさらに調査してみると、これらのフィッシングキットを開発した人物が、他の不正Webサービスの開発を行っていたことも確認できました。当該サービスは現在もう利用できませんが、電子メールアドレスの有効性を迅速に検証できるものであったことから、現在のフィッシングキットの機能につながる前身のプロジェクトであった可能性が考えられます。また、この人物はフィッシングキット以外にも、詐取した認証情報を継続して販売しているようです。

図15：現行のフィッシングキット機能と一部類似した機能を持つキット開発者の前身のプロジェクト

弊社は、インターネット上の情報の調査から、Facebook上できっと開発者が使い分けているビジネス用ページと個人用ページを確認することができました。トレンドマイクロは、さらなる調査のためにこれらの詳細を捜査機関に報告しました。

 

経営幹部アカウントの販売者から垣間見える関連性

アンダーグラウンドフォーラム内には、経営幹部のアカウント関連情報を販売しているフォーラム利用者が数多く存在します。

トレンドマイクロは、異なるフォーラムで経営幹部のアカウント関連情報を販売するフォーラム利用者のハンドルネームを特定しました。これらの認証情報の価格は250ドル（約26,200円）から500ドル（約52,400円）でした。

図16：アンダーグラウンドフォーラム内で侵害された経営幹部の認証情報を販売するフォーラム利用者

興味深い点は、販売者側が経営幹部の認証情報を販売するにあたり、過去に取引を行った購入者もしくは顧客とのみ取引を行うという公開記事（図17）を記載していることです。新規購入希望者による侵害を受けた企業名や認証情報のリストの閲覧は自動的に拒否されます。また、この販売者は、サーバを標的としたフィッシング手法を販売しており、それらはCookieのキャプチャや多要素認証の回避手法などの機能を備えていることも特定しました。興味深いことに、「認証情報を詐取するためのツール」と「2つの収集されたアカウント」の双方が同じハンドル名を持つ販売者によって販売されていました。またこれらの販売価格は、ソーシャルメディア上でフィッシングキット開発者と思われる人物が提供しているものとほぼ同じ価格でした。

図17：商品取引についての条件を掲載するアンダーグラウンドで活動する販売者（上）と、フィッシングキットを販売する別の投稿（下）

 

標的となりうる経営幹部と被害者のデータ

OfficeV4フィッシングサイト上で被害者によって入力された認証情報が記録されるログファイルがダウンロード可能な状態であるフィッシングサイトの存在が判明したため、確認済みのすべてOfficeV4フィッシングサイトに対してログファイルがダウンロード可能であるかを調査したところ、調査時点において8つのサイトからログファイルを収集することができました。これらのフィッシングサイトは時期や攻撃対象アカウント種類で分類でき、同じ攻撃者が行っている同一のキャンペーンであると思われるものが存在する一方、全く別の攻撃者が行っていると思われるものも存在していました。あるキャンペーンでは米国内の企業のCEO、社長、創業者のみを対象としている一方、別のキャンペーンでは、米国、英国、カナダ、ハンガリー、オランダ、イスラエルなど様々な国の役員や管理職レベルが被害者となっていました。また、これら被害者のアカウントのほとんどはLinkedInで自ら自身の情報を公開していました。このことから、攻撃者はLinkedInを利用して攻撃対象の選別と収集を行っていると考えられます。

図18：LinkedInから特定できる標的ユーザの会社での役職

図19：標的ユーザの国別分布

図19のデータ分布から、Office 365 V4フィッシングキットを利用する攻撃者の主な標的は米国の最高経営責任者（CEO）であることは明らかです。アンダーグラウンド市場ではCEOのメールアドレスリストを次なるフィッシング攻撃や機密情報へのアクセス、ビジネスメール詐欺（BEC）やなりすましなどのソーシャルエンジニアリングの手口を利用した攻撃を実施する目的で取引されることが多いようです。

さまざまなアンダーグラウンドフォーラムやサイトを調査してみると、侵害された認証情報の具体的な提供内容も明らかとなりました。これらの認証情報は、年齢、所属する業界、企業での役職などソーシャルメディアプラットフォームで確認可能な認証情報に応じて分類されていました。

さらに、ロシア語話者のフォーラム利用者やグループ向けのフォーラムなど、英語話者以外のフォーラムでも、フォーラム内のメッセージは英語でやり取りされていました。これは珍しいことではありませんが、これらのフォーラムアカウントは購入見込みのある顧客にデータやフィッシングキットを販売するためのメッセージを投稿するためだけに作成されていました。一つのフォーラムでは、攻撃者はただデータ販売するためだけにフォーラムのアカウントを購入していました。

今回の攻撃の攻撃対象者のリストを作成するには、地域や国ごとに分類されたCEO/CFOの電子メール、Facebookのプロフィールなどのリストを販売しているサービスを利用する方法があります。攻撃者は、これらのサービスを提供しているWebサイトのいずれかから攻撃対象者のリストを購入した可能性があります。

図20：CEO/CFOの電子メールとFacebookページのリストを提供する販売サイト

図21：日本向けのリストを提供している販売サイト。年齢、企業での役職、ソーシャルメディアのプラットフォームに分類されたリストを提供している

 

結論

フィッシング攻撃ではしばしば企業の従業員がダイレクトに標的にされます。これは、大抵の場合組織の講じるセキュリティ対策上の弱点となる存在であるためです。今回のキャンペーンでは、技術やセキュリティに精通しておらず、フィッシングリンクをクリックして誘導される可能性の高い経営幹部が格好の標的となっています。
同時に経営幹部を意図して標的とすることで、攻撃の成果として価値の高い認証情報を得ることができます。
また、詐取した認証情報は機密性の高い個人情報や組織情報へのアクセスに利用される可能性もあるため、二次被害に注意が必要です。

攻撃の際に正確な電子メールアドレスや認証情報を用いていることは、攻撃者が攻撃対象についての正確な情報を保有していることを示しています。攻撃者は、標的となる組織のWebサイトから単純に電子メールアドレスを収集できますが、さらに一歩進んで公開情報から収集したデータを利用してこれらの情報の正当性や価値を確認することができます。

このケースから、役員だけでなく従業員においてもSNS上で公開する情報に常に注意を払う必要があります。これらの情報は、ソーシャルエンジニアリングの手法で悪用される可能性があります。企業での役職に関係なくすべての従業員は、不審な送信元から特定の行動を促すメール（特に、緊急性を仰ぎ入金を求めるビジネスメール詐欺（BEC））を受信した際は、十分に注意を払う必要があります。正規のサービスプロバイダやベンダは、個人ユーザや企業に対して利用アカウントの認証情報を尋ねることは決してありません。企業は各セキュリティチームやITチームにパスワード管理を含めた組織のセキュリティポリシーを策定させ、従業員に周知、準拠させると同時に、技術的なフィッシング対策を講じることを推奨します。

---

本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース：https://blog.trendmicro.co.jp/archives/27186