PR
全2516文字

 フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。

 アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。

パスワードを盗むのが常とう手段

 一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。

フィッシング詐欺の典型例
フィッシング詐欺の典型例
[画像のクリックで拡大表示]

 ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入力すると攻撃者に盗まれる。攻撃者はそのパスワードを使って正規のWebサイトにアクセスしてアカウントを乗っ取る。

 誘導されるのは偽サイトなので、リンクのドメイン名をチェックすれば見破れることが多い。また、攻撃者の狙いはパスワードなので、「Webサイトでパスワードなどを入力する際には注意する」といったセキュリティーのセオリーを守れば被害に遭わない可能性が高まる。

 ところが、2019年12月にセキュリティーベンダーの米フィッシュラブズ(PhishLabs)が報告した新手口では、これらの対策は通用しない。誘導されるのは偽サイトでないうえに、パスワードを盗むことが目的ではないからだ。

Office 365のログインページに誘導する

 フィッシュラブズによると、新手口で攻撃者が送るメールはHTMLメールで、Office 365のログイン(サインイン)ページである「https://login.microsoftonline.com/」から始まるリンクが埋め込まれている。

 メールには、あるExcelファイルがOneDriveで共有されたと書かれている。Office 365のユーザーならそれほど違和感を覚えないだろう。

新手口で送られてくるメールの例
新手口で送られてくるメールの例
(出所:米フィッシュラブス)
[画像のクリックで拡大表示]

この記事は会員登録で続きをご覧いただけます

日経クロステック登録会員になると…

新着が分かるメールマガジンが届く
キーワード登録、連載フォローが便利

さらに、有料会員に申し込むとすべての記事が読み放題に!
有料会員と登録会員の違い