テレワークで使用が増えたツールに便乗する攻撃-セキュリティブログ

トレンドマイクロは、テレワーク(在宅勤務)で使用されるツールに便乗する複数の脅威を確認したといいます。その手口はどのようなものなのでしょうか? トレンドマイクロセキュリティブログからその手口を学びます。

サイバー犯罪者は、メール、コラボレーション・プラットフォーム、そしてビデオ会議アプリを偽装したフィッシングサイト上で、ユーザが認証情報を入力するように誘導します。これらは新しく発見された脅威ではありませんが、現在私たちが置かれている状況とこれまでの経験により、より良い対策を講じる必要性が高まっています。

長年にわたり、サイバー犯罪者は認証情報のフィッシングを目的としたキャンペーンの拡散に積極的に取り組んできました。トレンドマイクロの「2019年Trend Micro Cloud App Security レポート」によれば、2019年における認証情報を狙うフィッシング攻撃の総数は、前年比で35%増となりました。このようなフィッシング攻撃の増加傾向の中で、攻撃者はセキュリティソフトウェアによる検出を回避するために新規のフィッシングサイトを継続的に作成している状況も見て取れています。

このような認証情報を狙うフィッシング攻撃は、トレンドマイクロのメール・コラボレーションセキュリティ製品である「Trend Micro™Cloud App Security™」でも検出およびブロックしています。ここで確認されたフィッシング攻撃は、2018年の下半期では150万件であったものが、2019年の上半期には240万件にのぼり、59%増加しました。

今回、トレンドマイクロは、多くの企業がテレワークで使用するいくつかのツールの認証情報を狙うフィッシング攻撃の状況を調査しました。具体的には、Microsoft社が提供するWeb版「Outlook(旧Outlook Web Access)」と「SharePoint」のようなOffice 365アプリケーション、そしてビデオ会議アプリ「WebEx」と「Zoom」を対象としました。

WebOutlookとOffice 365を偽装するフィッシング活動

OutlookおよびOffice 365を利用する認証情報のフィッシング活動は、複数の国でユーザを欺き、その影響を与えています。”Outlook”や”Office 365”などの文字列をURLに使用したフィッシングサイトについて、トレンドマイクロのクラウド型セキュリティ技術基盤である「Smart Protection Network(SPN)」のデータを確認したところ、実際にOutlook Web Access(Web版Outlook)のログイン画面を偽装したサイトが確認できました。

図1:Web 版Outlookの偽ログインページ例

従業員は、通常オフィス内でOutlookのメールボックスを利用しますが、オフィス外からメールボックスにアクセスする際にWeb 版のOutlookを使用する従業員もいます。Office365やGmailなども含め、このように普段からクラウドメールサービスの形式で利用している場合、Web経由でのログインに不信感を抱かない可能性が高まります。そのため、Web 版を使用している利用者は特にフィッシングに注意する必要があります。

また、多くの従業員が、Office 365を通してファイルにアクセスし、オンライン上で共同作業を行っています。このOffice 365のログインページを偽装するフィッシングサイトも囮としてフィッシングキャンペーンで使用されています。2019年Trend Micro Cloud App Security レポートによれば、SPNのデータから、2019年にブロックされたOffice 365に関連するユニークなフィッシングリンクの数は、2018年に確認された合計の2倍以上に急増したこともわかりました。また、これらの脅威は通常のユーザのみならず、管理者アカウントを保持するユーザも狙っていることがわかりました。

図2:偽のMicrosoftログインページ

WebExとZoomを偽装するフィッシング活動とその他の脅威

テレワークにおいては、従業員間のより良いコミュニケーションを図るためにもビデオ会議アプリの利用頻度が増えます。サイバー犯罪者はこの環境を利用して、ビデオ会議アプリに偽装した攻撃を試みます。攻撃者は、WebExやZoomなどのビデオ会議アプリを囮に利用するフィッシング活動を展開します。また、フィッシング以外に、アドウェア、暗号通貨発掘ツール、その他のマルウェア、詐欺などの脅威も、これらのアプリを偽装してユーザを騙します。

SPNで検出されたWebEx やZoomなどの文字列を含む不正なURLの中では、直接的にZoomやWebExのログインページを偽装したフィッシングサイトも確認できました。


図3:ビデオ会議アプリ「WebEx」のログインページに偽装したフィッシングサイトの例

図4:Zoomログインページに偽装したフィッシングサイトの例

こういったアプリケーションを利用してユーザを騙そうとする他の脅威には、不正ドメインや偽アプリを使用するものがあります。攻撃者は、正規のサイトを侵害するか、またはフィッシングページをホストする不正ドメインを作成します。これらのIPアドレスをホストするドメイン元の位置を追跡したところ、米国が833件で、ユニークなIPアドレスの数が最も多いことがわかりました。

■被害に遭わないためには

攻撃者は、認証情報を狙ってフィッシングページを拡散させる手法の一つとして、メールを利用します。 フィッシングの脅威を防ぐために、以下のベストプラクティスを講じることを推奨します。

  • 不審な送信元からのメールに記載されているリンクをクリックしないようにしましょう
  • メールに埋め込まれたURLにマウスポインタを合わせて確認しましょう。 こうすることで、URLが意図しない別のページにつながることが判明する場合があります
  • 文法上の間違いや誤字に注意しましょう。これは、大抵の場合、不審な送信元からのメールである可能性を示しています
  • ログインページが正規のものに見える場合でも、URLを調べて正規のログインページであるかどうかを確認しましょう
  • 機密の個人情報をオンライン上で共有しないようにしましょう

”当たり前”と思われることも多いのですが、何気ない作業の中で忘れがちでもあります。
意識を高めておくことで、普段は気が付かないことも見えてくるかもしれません。


本記事は、トレンドマイクロ様の許諾により「トレンドマイクロ・セキュリティブログ」の内容を元に作成しております。
ソース:https://blog.trendmicro.co.jp/archives/25129

関連記事

ピックアップ記事

  1. 「身内であっても全員疑え!」そんな手厳しい考え方が主流になろうとしています。 10年以上前に提唱さ…
  2. テレワーク(在宅勤務)はコロナ禍以前にも東京オリンピック2020の混雑緩和を目的に「テレワークデイズ…
  3. 常に新しい用語が生まれてくる情報システム部門は、全ての用語を正しく理解するのも一苦労。ましてや他人に…
  1. 「セキュリティの未来は雲の中に」SASEはDXの切り札か(前編)

  2. シリーズ『IDaaSの教科書』4)認証強化の種類とその仕組み

  3. テレワークとIT業務委託のセキュリティ実態調査-IPA

  4. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #2 どうやって守り、その手法は?

  5. ”ウィズコロナ”時代の情シス業務

  6. 【情報セキュリティ10大脅威 2021】ニューノーマルな働き方を狙った攻撃がランクイン-IPA

  7. 「ゼロから学ぶ」セキュリティ脅威(基礎編) #1 セキュリティは何を守るのか

  8. いまさら聞けない【情シス知識】暗号化ファイルのメール添付はなぜ危険!?

  9. シリーズ『IDaaSの教科書』3)徹底解説!SSOの仕組みを理解する

  10. 松田軽太の「一人情シスのすゝめ」#16:RPAやローコード開発を導入検討中の方は要注意

プレスリリース

登録されているプレスリリースはございません。

関連サービス

Banner_Josyscareer

Banner_ITMS

Banner_ITMSD

おすすめ記事

  1. 多忙な日常業務を送る情シスの皆さん。範囲が広く技術の底が深いセキュリティについて「実は把握できていな…
  2. 多忙な日常業務を送る情シスの皆さん。範囲が広く、そして技術の底も深いセキュリティについて「実は把握で…
  3. WordファイルやExcelファイルなどの編集が終わったら、パスワード付きでZIP圧縮。メールにZI…
  4. Webサービスの利用が増える中、新しいセキュリティ技術「Webアイソレーション」が注目されています。…
  5. 働き方改革の盛り上がりもあり、近年、耳にする機会が増えた「テレワーク」と「リモートワーク」。これに対…
ページ上部へ戻る