is702
is702はトレンドマイクロが提供するインターネットを
安全に楽しむためのセキュリティ情報サイトです。
is702はトレンドマイクロが提供するインターネットを安全に楽しむためのセキュリティ情報サイトです。
ニュース

LinkedInで標的を物色、Office 365のパスワード有効期限延長を通知する偽メールに注意

2021/02/26

トレンドマイクロは2月22日、公式ブログで「Office 365偽サイトによるフィッシングキャンペーン、日本の経営幹部も標的」と題する記事を公開しました。2020年5月以降に拡大している、企業の経営幹部を標的としたフィッシングキャンペーンについて、その手口や背後に潜む攻撃者・開発者を考察した内容です。

この攻撃で送られてくるフィッシングメールには、偽のOffice 365のロゴとともに「現在設定しているパスワードの有効期限が切れるため、パスワードの変更か延長が必要」といった内容が記されており、メール内のパスワードの有効期限延長ボタンからフィッシングサイトに誘導しようとします。フィッシングサイトでアカウント情報などを入力してしまうと、認証情報が奪われてしまいます。その結果、情報漏えいやさらなる攻撃にアカウントが悪用されることになります。

攻撃に使われたフィッシングサイトは、日本、米国、英国、カナダ、オーストラリア、欧州諸国など様々な国の製造業、不動産業、金融機関、政府機関、技術産業内の組織を標的にしており、トレンドマイクロが調査を行った時点で300以上のフィッシングサイトのURLが確認されました。さらにアンダーグラウンドの状況を調査したところ、「最高経営責任者(CEO)、最高財務責任者(CFO)、財務部門を担当する責任者などのアカウント認証情報を販売する」とうたう、複数の広告が確認されました。こうした広告は、侵害されたOffice 365アカウントの認証情報や各役員の会社での役職情報を提供するという投稿でした。

また、この攻撃では、フィッシングサイトを構築するためのツールである「フィッシングキット」が利用されていました。調査により確認されたフィッシングキットには、セキュリティ企業や大規模なクラウドプロバイダからアクセスがあった場合には、調査されないようアクセスをブロックできるようにしていました。他にも、サイト情報を自動的に収集するクロールなどに対しては、フィッシングサイトではなく代替コンテンツを提供する機能が追加されたバージョンも見つかっています。こうした機能は、セキュリティ製品による検出の回避が目的と考えられます。

今回の大規模攻撃では、企業の経営幹部が標的になっていました。経営幹部からは、価値の高い認証情報を得ることができ、さらに機密性の高い個人情報や組織情報へのアクセスもできるため、役職の高い人物や、重要なシステムのアクセス権を持つ人物は標的となりやすい傾向にあります。今回の攻撃でも、LinkedInで標的となる経営幹部の情報を収集しており、SNSで役職や連絡先などを公開している場合、その情報が悪用されて攻撃を受ける可能性があることを認識しておきましょう。各企業はパスワード管理を含めた組織のセキュリティポリシーが十分かどうか見直してください。加えて、経営層を含む全従業員にこのような脅威を教育によって周知させると共に、セキュリティ製品による技術的なフィッシング対策も講じましょう。


図:LinkedInから特定できる標的ユーザの会社での役職

図:LinkedInから特定できる標的ユーザの会社での役職

  • ウィルスメール対策・迷惑メール対策 ポテトだから安心・充実・高機能
  • ウィルスバスターマルチデバイス月額版
  • i-フィルター for プロバイダー
ウィルスメール対策・迷惑メール対策 ポテトだから安心・充実・高機能
ウィルスバスターマルチデバイス月額版
i-フィルター for プロバイダー