フィッシング
フィッシング攻撃で詐取された情報を悪用した二次被害事例を確認
フィッシングによる認証情報詐取は攻撃者にとって常套手段となっていますが、詐取情報の悪用まで確認できた事例はほとんどありませんでした。本事例は情報詐取とその後の悪用の関係が確認できた貴重な事例であるため、本記事にて報告いたします。
トレンドマイクロでは様々な攻撃事例への対応を行っています。今回、調査対応を行った攻撃事例の中で、フィッシングで詐取されたクラウドメールの認証情報が即座にフィッシングメール送信に悪用されたと考えられる事例を確認しました。フィッシングによる認証情報詐取は攻撃者にとって常套手段となっていますが、詐取情報の悪用まで確認できた事例はほとんどありませんでした。本事例は情報詐取とその後の悪用の関係が確認できた貴重な事例であるため、本記事にて報告いたします。
フィッシング攻撃を取り巻く現状
/warning_against_phishing_attack/Picture1.jpg)
コロナ禍が始まった2020年以降、詐欺サイトへ利用者を誘導する攻撃は急拡大しました。2021年からは毎半期2千万件以上の誘導が確認される高止まり状態となっています。このようにネット詐欺が過去最大規模の拡大を見せる中、正規のWebサービスを装った形でWeb画面を表示し、ターゲットの個人情報や機密情報を詐取するフィッシング詐欺は、いまやサイバー犯罪者にとって常套手段化している状況です。
実在するITベンダや金融機関、オンラインショッピングサイト等を模したフィッシングサイトの注意喚起は多数発信されていますが、その一方で、フィッシングにより情報を詐取された後に具体的にどのような被害が発生してしまうのかを事実ベースで情報発信されている事例は驚くほどに見かけません。
詐取された情報が具体的にどのように悪用されるかが、明確にならない大きな要因は、フィッシング攻撃で詐取した情報を攻撃者が悪用するまでには一定期間が経過していることが多く、一連の攻撃シナリオとして紐づけて事実確認することが難しいためと考えられます。
加えて、被害者自身が正規サイトで情報を入力したものと疑わず、そもそも情報を詐取された認識がない場合があることも、事実確認を難しくしている要因と考えられます。
このようなフィッシング攻撃を取り巻く状況の中で、トレンドマイクロでは、お客様からの調査支援依頼を通じて、フィッシング攻撃によって詐取された情報を悪用し、さらに二次被害まで発生した事実が確認できた珍しい事例をこの度、確認することができました。
このセキュリティブログでは、被害を受けたお客様の調査支援を通じて、確認ができた一連の攻撃手法、シナリオのご紹介とこの被害事例を考察した上での企業が考えるべきフィッシング攻撃への対策についても、考えてみたいと思います。
攻撃シナリオ
調査の結果、確認できた攻撃シナリオは以下の通りです。
- 攻撃者がターゲットユーザにフィッシングメールを送信
- 被害企業の社員がフィッシングメールを受信し、添付されたhtmlファイルを実行することでMicrosoftアカウントのサインイン画面を模した画面がブラウザ上に表示される正規のサインイン画面と誤認してアカウント情報を入力して送信することで、攻撃者はアカウント情報を入手
- 攻撃者は詐取した被害者アカウント情報を利用して、Outlook on the web(Web版Outlook)にサインイン
- フィッシングメールを送信するための情報収集を行った上で、正規のユーザを装って、フィッシングメールをOutlook on the webから送信
/warning_against_phishing_attack/Picture2.jpg)
今回の事例では、図2の青線で示したシナリオ③~④の詐取した情報がただちに二次攻撃に悪用されたことが事実確認できたことが、特筆すべき点となります。
上述の攻撃シナリオが事実として確認できるまでに至った調査内容は以下となります:
調査1:フィッシングメールの調査
はじめに私たちは、攻撃の起点となったフィッシングメールの確認を行いました。
今回の事案では、被害企業が受信したフィッシングメールと、攻撃者が詐取したアカウントを用いて送信したフィッシングメールは、宛先等の一部の情報を除いて、ほぼ同内容のものが送信されておりました。以下は実際に被害企業で受信したフィッシングメールのサンプルです。
/warning_against_phishing_attack/Picture3.jpg)
/warning_against_phishing_attack/Picture4.jpg)
フィッシングメールを調査した結果、以下の事実が確認されました。
攻撃者は事前に被害者アカウントの情報を参照できる状況で、被害者アカウントを用いて、メール送信できる状況であると推察されます。
- 送信元アドレスも実在する被害企業に関連するアドレスであり、メールヘッダから送信元を確認しても不審な点が見受けられない
- フィッシングサイトへのリンクが本文に記載されている訳ではなく、添付されたhtmlファイルを実行すると、ブラウザが起動し、Microsoftアカウントのログイン画面を模した入力フォームが表示される(図3参照)
- メール末尾の署名は、実際に存在する被害企業の実在する社員の署名であった
続いて、フィッシングメールに添付されたhtmlファイルに迫ります。
添付されたhtmlファイルをテキストエディタで開いて、htmlソースを確認してみると、javascriptが埋め込まれていることが確認できます。
内容を確認すると、エンコードで秘匿が疑われる文字列を確認することができます。(図5 赤枠部分)
図6は、この不審な文字列をデコードした結果となります。formタグと共に、不審なURLが現れます。このデコードした結果を元に改めて、赤枠で囲まれたjavascriptコードを読み解くと、以下の処理を行うことが確認でき、このhtmlファイルがフィッシングに用いられていることが確認できます。
- unescape関数でエンコードされた文字列をデコードする
- デコードした文字列をdocument.writeメソッドで書き出す
- フォームに入力された情報をHTTP POSTメソッドで不審なURLへ送信する
/warning_against_phishing_attack/Picture5.jpg)
/warning_against_phishing_attack/Picture6.jpg)
調査2:周辺情報の調査
フィッシングメールを調査した結果や被害の発生のタイミングからは、フィッシング攻撃によるアカウント情報の詐取に伴って、被害が発生した可能性が高い状況であることが確認できました。
一方でEmotetに代表されるように、端末を不正プログラムに感染させ、攻撃者が遠隔で操作することで端末上から不正なメールを送信させることも手法としては、考えられます。
アカウント情報の詐取だけでフィッシングメールが送信されたのか、もしくは不正プログラムも関与して、フィッシングメールが送信された可能性があるのか、事実確認を行うために以下の調査を実施しました。
- フィッシングメールを送信した端末に対する調査ツールを利用した、端末の不正プログラム感染有無の事実確認
- Webサービス経由でメール送信ができるか否かのメール利用環境の確認およびWebサービス経由でメール送信ができる場合には、監査ログを調査しての不正ログインの事実有無の確認
- フィッシングメールを送信した端末でC&C通信が疑われる外部への頻繁な通信が発生していないかの事実確認
上記調査事項1~3の調査の結果、被害企業様ではOutlook on the webを利用してのメール送信が利用可能であることが確認されました。
監査ログを確認した結果、被害者がアカウント情報をブラウザ経由で入力して詐取した後、数時間後にログインアクセスが発生し、その後フィッシングメールが送信されている事実が確認される一方で、対象時間帯での不審な通信は確認されませんでした。
以上の事実確認から、フィッシング攻撃によるアカウント情報詐取の後に、攻撃者はOutlook on the webにアクセスした上で、詐取したアカウント情報を利用してサインインし、フィッシングメールを送信していた事実を確認するに至りました。
今回の被害事例では、詐取したMicrosoftアカウントを悪用して、Outlook on the webにアクセスした上でメール本文や連絡先の情報を参照し、フィッシングメールを送信するといった形で二次被害が顕在化いたしましたが、これは想定される被害のあくまで一例と考えられます。
Microsoft 365(旧名Office 365)では、Web経由で他のOfficeアプリケーションにもアクセス可能となるため、ご利用環境によっては、Outlook以外のアプリにもアクセスして、機密情報にアクセスする、不正プログラムを共有フォルダに蔵置する等の様々な被害シナリオが考えられます。
攻撃者にMicrosoftアカウントでサインインされた場合のリスクを十分に理解した上で、仮にアカウントとパスワード情報が漏えいした場合でも不正なサインインを防止する、情報資産にアクセスさせないといった対策が求められます。
被害に遭わないためには
本被害事例を振り返り、フィッシング攻撃に関連した二次被害の抑止、有事の際の事実確認のために、様々なところで提案されている対策手段ではありますが、以下の対策が重要であることが調査支援を行った立場として、大変実感しております。
本記事をご覧頂いている皆様の環境においても改めて、以下のような対策が十分であるかをご確認頂くことを推奨いたします。
- インターネット経由で利用可能なWebサービスログイン時の二要素/多要素認証の実装
- 業務上の利用を必須とする人に絞って、Webサービスのアクセスを許可する
- 自社のシステムにおける監査ログの洗い出し、調査に有用な監査ログの有効化
今回の被害企業の事案では、Microsoftアカウント情報があれば、Outlook on the webにログインして利用可能な環境であることが確認できました。
二要素/多要素認証が実装されていれば、攻撃者が詐取したアカウント情報だけでは、Outlook on the webへのログインができないため、フィッシングメールが攻撃者によって送信される二次被害が抑止できた可能性があります。
対策3に関しては、自社で利用しているサービス/製品で、どのようなログが出力され、調査時に事実確認できるかを、平時の時から把握頂くことによって、有事の際にも円滑に調査が進められるかと思います。
また、利用されているサービス/製品によっては、調査時に有用なログではあるが、デフォルト設定では出力されないログ項目であることなども考えられますので、ログ設定に関しても改めて確認頂くことをお勧めします。
おわりに
フィッシング攻撃によって得られる情報は、攻撃者にとっても大変魅力的なものであり、引き続き、様々な形でのフィッシング攻撃が観測されることが今後も懸念されます。
今回ご紹介した事例を通じて、フィッシング攻撃ならびに二次攻撃の詳細や被害事例を理解頂いた上で、今後のフィッシング攻撃に対する対策の推進、被害の抑止、軽減にお役立て頂ければ幸いです。
調査・執筆:TrendMicro Research 長坂泰(シニアスレットアナリスト)
構成:岡本勝之(セキュリティエバンジェリスト)