全2516文字
PR

 フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。

 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。

パスワードを盗むのが常とう手段

 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。

フィッシング詐欺の典型例
フィッシング詐欺の典型例
[画像のクリックで拡大表示]

 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入力すると攻撃者に盗まれる。攻撃者はそのパスワードを使って正規のWebサイトにアクセスしてアカウントを乗っ取る。

 誘導されるのは偽サイトなので、リンクのドメイン名をチェックすれば見破れることが多い。また、攻撃者の狙いはパスワードなので、「Webサイトでパスワードなどを入力する際には注意する」といったセキュリティーのセオリーを守れば被害に遭わない可能性が高まる。

 ところが、2019年12月にセキュリティーベンダーの米フィッシュラブズ(PhishLabs)が報告した新手口では、これらの対策は通用しない。誘導されるのは偽サイトでないうえに、パスワードを盗むことが目的ではないからだ。

Office 365のログインページに誘導する

 フィッシュラブズによると、新手口で攻撃者が送るメールはHTMLメールで、Office 365のログイン(サインイン)ページである「https://login.microsoftonline.com/」から始まるリンクが埋め込まれている。

 メールには、あるExcelファイルがOneDriveで共有されたと書かれている。Office 365のユーザーならそれほど違和感を覚えないだろう。

新手口で送られてくるメールの例
新手口で送られてくるメールの例
(出所:米フィッシュラブス)
[画像のクリックで拡大表示]