ロシアのセキュリティ会社が企業の公式メルマガを狙ったフィッシングメール・キャンペーンの事例を報告しました。
The international companies official newsletters are used to steal money from bank accounts
とても単純な手口ですが意外と多くのサイトで見落とされているのではないかと思ったのでご紹介します。
フィッシングメールの現況
本題に入る前に少しだけフィッシングメールの現況について触れておきます。ここではトレンドマイクロ社が公開している資料を参考にしています。
2018年 年間セキュリティラウンドアップ 騙しの手口の多様化と急増するメールの脅威
この資料によるとフィッシング詐欺は過去最大規模で拡大していると述べられています。
フィッシングサイトに誘導された日本国内の利用者数は、400万件を突破し前年比約2.5倍に急増、過去最大規模の急拡大となりました。
手口としては送信者を有名企業に偽装した方法が大半を占めているようです。
トレンドマイクロが2018年に拡散を確認したフィッシングメールキャンペーン97件について利用者を騙す手口を調査したところ、すべてのキャンペーンでフィッシングメールの送信者として実在企業を偽装する手法が使用されていました。特に、AppleやAmazonに代表される大手IT企業の偽装が約44%と最も多くなっていました。
フィッシングメールにおける件名の特徴としては注意を促すものや不安を煽るものが多いようです。
同様にフィッシングメールの件名に企業名やサービス名を入れて利用者の関心を引く手口が全体の6割近くで見られました。その他、フィッシングメールにおける件名の特徴としては、「重要」や「緊急」、「アラート」など受信者に対応を迫る文言を入れる手口が46件と約半数を占め、「アカウントの閉鎖」や「パスワードの初期化」、「不正ログイン」などセキュリティの不安を煽る手口が22件で全体の約23%を占めました。
件名で不安を煽る例
なお、近年はサイバー犯罪のターゲットはソフトウェアやバージョンの脆弱性を狙った攻撃から、人の脆弱性を狙ったものにシフトしており、その手法も巧妙なものになっているようです。
サイバー犯罪者は、以前から存在して悪用されてきた「人の脆弱性」を狙う、つまりは人を騙す攻撃へ回帰します。そして、サイバー犯罪者は、再びソーシャルエンジニアリングの手法強化へと取り組み始めました。事実、2018年の情報漏えい事例は、フィッシング攻撃が直接的な原因となっていました。例えば、差出人が地域組織を偽装したメールを学校職員がクリックしたり、地方自治体の職員が昇給通知に偽装したメールに騙されたり、さらには病院職員が院内役員を偽装したメールに騙されて認証情報を提供したりするなど、いずれの事例からも一人の従業員がフィッシング詐欺の攻撃を受けた場合、その被害が甚大となる可能性があることが分かっています。
フィッシングメールに関する事例はフィッシング対策協議会のサイトに公開されていますので、気になる方はチェックしてみると良いでしょう。
公式サイトがフィッシングメールの踏み台に!?
前述したように一般的なフィッシングメールは攻撃者が件名や送信者を偽って送られてくるものです。ドメインを正規のものに似せるなど工夫の差はあれ、普段から送信者のメールアドレスなどに注意を払っていれば偽物かどうかを見分けることはそれ程難しくありません。
では、フィッシングメールが有名企業の正規のドメインから送られてきたらどうでしょう?特に疑うことなく、メールに記載されているURLをクリックしてしまうかもしれません。それが今回ご紹介する手口です。
このフィッシング・キャンペーンでは自動車メーカーのアウディやオーストリア航空、鉄道事業者のベルリンSバーンなど知名度の高い企業がターゲットになりました。
攻撃者は企業の公式サイトにあるメルマガ登録フォームを利用しました。下のキャプチャはオーストリア航空のメルマガ登録フォームです。
特に変わったところのない普通の登録フォームです。必要事項を入力して登録を行うと、ユーザーに対して登録確認メールが送信されるようになっています。登録確認メールにはフォームで入力した氏名が表示されるようになっていました。「●●様 この度はご登録ありがとうございます」のような文面で始まるメールは日本でも珍しくないかと思います。
では、この氏名の部分に名前以外の文字を入力したらどうなるでしょう?それが下のキャプチャです(実際に試すのは憚られたので画像はセキュリティ会社のブログから引用させて頂きました)。
画像の引用元:https://news.drweb.com/show/?lng=en&i=13223
画像を見るとメールの冒頭にURLへのリンクが表示されていることが分かります。察しの良い方ならもうお気づきだと思いますが、ファーストネームに「●●万円プレゼントキャンペン実施中」、ラストネームに「(フィッシングサイトのURL)」を入力し、メールアドレスにターゲットのアドレスを入力すれば、あたかも公式アドレスからキャンペーンのURLが送られてきたかのようにユーザーに誤認させることができるということです。正規の自動返信メールのため、迷惑メールフィルタも容易にパスすることができるでしょう。
検証
せっかくなので自前のWordPressサイトにフォームを作成して検証してみたいと思います。ここでは、お問い合わせフォームの作成に「Contact Form 7」を使用します。
フォームの入力項目として姓と名およびメールアドレスを設置します。
返信メールは以下のようにフォームに入力された姓と名を表示するようにします。
フォームの準備が出来たら以下のような感じで不正なサイトへ誘導する文章などを姓名に入力します。
フォームに入力したメールアドレス宛に以下のようなメールが届きました。
本来は姓名を表示する箇所に不正なサイトへの誘導リンクを表示することに成功しました。
送信者を偽装してメールを送った場合は別のドメイン経由で送られてきたことが表示されるため不正なメールかどうか判別することが容易ですが、今回は正規のドメインから送られた自動返信メールのため、送信者の情報だけでは不正なメールかどうかを判別することは難しいでしょう。
送信者を偽装して送られたメール
正規のドメインから送られたメール
終わりに
開発者の方であればXSSやCSRFなどのセキュリティ対策は普段から意識して取り組まれているかと思います。しかし、攻撃は必ずしもシステムの脆弱性を狙ったものばかりではありません。今回のケースのように人の脆弱性を狙ったものもあるということを頭に入れて、様々な角度からセキュリティ対策を見直してみては如何でしょうか?