Digital Arts Security Reports

2020/05/14    i-FILTER,サイバー攻撃,フィッシング

テレワークだからこそ知っておきたいラテラルフィッシング 狙われるMicrosoft 365

急変した情勢によりテレワークを実施する企業が増加している今、知っておくべき攻撃が「ラテラルフィッシング」です。

ラテラル(横方向)フィッシングとは、乗っ取った正規のメールアカウントからそのアカウントになりすましてフィッシングメールを送る手法のことをいいます。

特に注意したいのがMicrosoft 365(旧称Office 365)のアカウントの乗っ取りです。Microsoft 365にはメールやファイル共有など様々なサービスがありますが、クラウド上の共通URLからIDとパスワードでアカウントにログインして利用できるため、非常に便利なものとなっています。テレワーク実施のためにMicrosoft 365を導入して便利に活用している企業も多いでしょう。その反面、セキュリティ設定や運用方法がしっかりされていないとアカウント情報が窃取され、様々な重要データに簡単にアクセスを許してしまうということもあり得ます。

国内有名企業のメールアカウントが乗っ取られラテラルフィッシングに利用

国内での実例としては昨年2019年に、国内で有名なフィットネス事業を営むA社において、従業員のメールアカウントが踏み台にされ迷惑メールが送信されてしまった事件がありました。

日付 情報
2019年10月末日 午前、A社の乗っ取られたメールアカウントから迷惑メールが送付される
2019年10月末日 午後、A社のセキュリティチームから迷惑メールの受信者に対して注意喚起とお詫びメール送付
2019年11月初旬 A社による不正アクセスに関して第一報
2019年12月初旬 A社による不正アクセスに関して第二報

第一報と第二報により、迷惑メールはの宛先は「取引先に対し送信された」と発表していることから、攻撃者は「A社となんらかのやりとりのある企業」、つまりラテラルに攻撃を行ったと考えられます。

この迷惑メールを独自に入手し、攻撃者が何をしようとしていたのかを探りました。

Microsoft 365のアカウント窃取を狙ったフィッシング

乗っ取られたA社のメールアカウントが送信した迷惑メールを調査したところ、Microsoft 365のアカウント窃取を狙ったフィッシングであることがわかりました。

【図1】乗っ取られたメールアカウントから送付された迷惑メール
【図1】乗っ取られたメールアカウントから送付された迷惑メール

迷惑メールは、A社の正規ドメインから送付されていました(送信元の偽装はされていない)。また、メール内のURLリンクはMicrosoft SharePointの正規ドメイン「sharepoint.com」を使用しており、このURLからフィッシングページへの誘導が開始されます。

【図2】メール内のURLリンクにアクセス
【図2】メール内のURLリンクにアクセス

URLリンクをWebブラウザーで開くと、SharePoint上のOneNoteで共有されたPDFをダウンロードするように装っていました。A社の社名に関連する文字列も多く使われています。

※このSharePointのURLはとある海外企業が利用しているもので、気づかないうちに攻撃者によってフィッシングに使われてしまったと考えられます。

【図3】Microsoft 365のフィッシングページ
【図3】Microsoft 365のフィッシングページ

フィッシングページで使われていた「appspot.com」はGoogleが管理するドメインで、誰でもこのサブドメインでWebサイト等の構築が可能です。Microsoft 365の正規のページではありません。

このフィッシングページでIDとパスワードを入力して進むと、別のURLへと遷移しPDFが表示されます【図4】。ここで入力したIDとパスワードは、攻撃者が独自で準備したと考えられる不審なドメイン(*.c3y5-tools[.]com)へと送信されていました。

【図4】最終的に誘導されたURLは無害なPDF
【図4】最終的に誘導されたURLは無害なPDF

最後に、不動産関連企業が公開している正常なPDF資料が表示されました。PDFには悪性要素はなく無害です。これはPDFのダウンロードを装っていたことの辻褄をあわせ、違和感をなくしているのでしょう。


このように、攻撃者はすでに乗っ取ったA社からさらに関連する企業へとラテラル(横方向)にフィッシングを仕掛け、Microsoft 365のアカウントを窃取しようとしていました。

そもそもA社はなぜメールアカウントを乗っ取られたのか

A社は何が原因でメールアカウントを乗っ取られたのかは公開していないため真相はわかりません。

Microsoft 365を企業が利用しているかどうかは、利用しているドメインがわかればDNSレコード等から把握が可能で、特にA社においてはMicrosoft 365を導入しているということはドメインからだけでなく、導入支援をした企業のサイトや取締役のWebインタビュー記事等で公のものとなっていました。

これは推測になりますが、最初はA社も同様にラテラルにフィッシングメールを送り付けられその罠に引っかかったことで、Microsoft 365のアカウントを盗まれて踏み台にされてしまったのかもしれません。

ラテラルフィッシングへの対策

古い考えは通用しにくくなっている

従来の判断方法に、フィッシングメールは「怪しいドメインからメールが送付される」「URLには怪しいドメインが使われる」といったものがありましたが、最近では通用しにくくなっています。新しい脅威に目を向けましょう。

複数のセキュリティソリューションを導入する

もちろん人が注意することは大切ですが、攻撃はどんどん巧妙になっているため限界があります。システム的な防御では、メールフィルタリングだけでなくWebフィルタリングなど他のセキュリティソリューションも併せて導入することが有効です。

ログインには2要素認証を導入する

Microsoft 365に限らず、多くのクラウドサービスでは2要素認証の機能を用意していますので、IDとパスワードが盗まれたとしてもログインできないよう備えておくことが重要でしょう。

デジタルアーツでは

デジタルアーツでは日々様々な情報をもとにデータの収集を行っており、本記事のようなフィッシングに用いられるURLは「i-FILTER」Ver.10のフィルターデータベースへと迅速に配信され、[フィッシング詐欺]や[違法ソフト・反社会行為]カテゴリにてブロックすることが可能です。

また、フィルターデータベースに反映されていないURLについても「ホワイト運用」を行うことで、デジタルアーツが安全を確認したURLにのみアクセスを許可し未知のフィッシングサイトや悪性URLをブロックすることが可能です(※)。
※本記事の攻撃発生時、不審なドメイン(*.c3y5-tools[.]com)のURLはフィルターデータベースに存在しない未知のURLであったためブロックされました。

強固なURLフィルタリング「ホワイト運用」で未知の脅威サイトへのアクセスをブロック。
強固なURLフィルタリング「ホワイト運用」で未知の脅威サイトへのアクセスをブロック。

国内で検索可能なURLを独自に収集し、安全を確認したURLのみアクセス可能とする「ホワイト運用」により、安全なWeb環境を創出、攻撃者が用意した悪意あるWebサイトなど、未知の脅威サイトへのアクセ許可/不許可等を設定することが可能です。

  1. Digital Arts Security Reports をダウンロード

ダウンロードにはお客様情報の入力が必要となります。

<関連リンク>

受信したすべてのメールを開け、アクセスしたいWebをクリックできる。情報システム部門の運用負荷も削減できる。デジタルアーツの「ホワイト運用」がセキュアな世界を実現します。

サイバーリスク情報提供「Dアラート」は「i-FILTER」Ver.10、「m-FILTER」Ver.5、「i-FILTER@Cloud」「m-FILTER@Cloud」の機能を利用して、マルウェア感染の疑いのあるお客様や弊社のお客様以外へも感染情報やホームページの改ざん情報をお知らせする、無償の情報提供サービスです。