米連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年8月下旬、「ビッシング(vishing)」に関するセキュリティー勧告を合同で発表した。
ビッシングとは電話を使ったフィッシング詐欺。ボイスフィッシング(voice phishing)の略である。「音声フィッシング」などとも呼ばれる。一般的なフィッシングは偽メールなどを使うのに対して、ビッシングはユーザーに電話をかけて偽サイトに誘導し個人情報などを入力させる。
ビッシング自体は新しくない。15年以上前から存在する手口だ。だが新型コロナウイルス禍でテレワークが一般的になっている現在、ビッシングが新たな脅威になっている。FBIとCISAは2020年7月中旬、米国のリモートワーカーをターゲットした大規模なビッシングキャンペーンを確認したという。一体、どのような手口なのだろうか。
狙いはVPNのパスワード
従来のビッシングは主に銀行の口座情報を狙っていた。攻撃者は銀行の担当者を装って被害者候補に電話をして、偽のネットバンキングサイトなどに誘導。暗証番号などを入力させて盗む。
偽の電話番号を記載した偽の銀行サイトを立ち上げて、被害者候補から攻撃者に電話をかけさせる手口もある。ビッシングの逆になるので、リバースビッシングとも呼ばれる。
だが最近のビッシングの標的は、企業のVPN(仮想私設網)にログインするためのパスワードだ。コロナ禍により、現在では多くの企業がVPNによるテレワークを導入している。VPNはテレワークの要。インターネットと社内LANの境界に設置されたVPN製品を突破されると、社内の機密情報を盗まれてしまう。
しかもテレワークでは対面での確認が難しくなり、電話やビジネスチャットなどに頼らざるを得なくなっている。攻撃者はそこに目を付けた。電話を使って偽のVPNログインサイトに誘導し、ログインに必要なパスワードなどを盗むのだ。
FBIとCISAのセキュリティー勧告によると、攻撃の手順は次の通り。
攻撃者はまず、標的とする企業の偽のVPNログインサイトを作成する。正規のサイトと思わせるために、それらしいドメインを取得するのが常とう手段のようだ。具体的には以下のようなドメインを使用する。[company]には標的とした企業の名称が入る。
- support-[company]
- ticket-[company]
- employee-[company]
- [company]-support
- [company]-okta
最後の「okta」とはID管理サービスの最大手である米Okta(オクタ)を指す。
著名なセキュリティー研究者であるブライアン・クレブス氏は同氏の公式ブログで実例をいくつか挙げている。
例えば、米Bank of America(バンク・オブ・アメリカ)や米AT&Tの社員を狙ったと思われる「bofaticket.com」および「helpdesk-att.com」を確認しているという。
