新型コロナウイルス関連の規制が解除され、従業員がオフィスに戻り始めたことで、ハッカーたちは活動の転換を迫られている。この18カ月間、詐欺師の主なターゲットはパンデミックの影響で在宅勤務に移行したリモートワーカーだったが、今度は物理的なオフィスに戻り始めたスタッフを標的にした新たなフィッシングキャンペーンが展開されている。
フィッシングメール防御ソリューションを専門とするCofenseが確認したこの電子メールベースのフィッシングキャンペーンは、CIO(最高情報責任者)からの職場復帰歓迎のメールを装って従業員をターゲットにする。
メールのヘッダーには企業の公式ロゴが入っており、CIOになりすました署名も入っているため、十分に正当なものに見える。メッセージの大部分は、パンデミックに関連して会社が取っている新しい予防措置や業務の変更について説明しているという。
従業員がこのメールに騙されてしまった場合、企業ブランドの入った文書が2つ掲載されたMicrosoft SharePointページに見えるリンクにリダイレクトされることになる。Cofenseのフィッシング防御センターの脅威アナリストであるDylan Main(ディラン・メイン)氏はこう述べている。「これらのドキュメントを操作すると、これらが真正ではなく、アカウント情報を取得するためのフィッシングの仕組みであることがわかります」。
しかし、被害者がいずれかの文書にアクセスしようとすると、ログインパネルが表示され、ファイルにアクセスするためのログイン認証情報を入力するよう求められる。
「これは、Microsoft(マイクロソフト)のログイン画面を偽装して認証パネルを開くという、Microsoftフィッシングページではあまり見られない手法です」とメイン氏は語る。「ファイルが本物であるかのように見せかけ、別のログインページにリダイレクトしないことで、ユーザーは更新内容を見るために認証情報を提供する可能性が高くなるかもしれません」。
ハッカーが採用しているもう1つの手法は、有効な認証情報が入力されているにも関わらずエラーを偽装することだ。パネルにログイン情報を入力すると、最初の数回は、次のようなエラーメッセージが表示される。「アカウントまたはパスワードが正しくありません」。
「ログイン情報を何度か入力すると、従業員は実際のMicrosoftのページにリダイレクトされます」とメイン氏はいう。「これにより、ログイン情報が正しく、従業員がOneDriveドキュメントにアクセスできたように見えます。実際には、攻撃者はこの時点でアカウント所有者の情報に完全にアクセスできるようになっています」。
これは職場復帰する従業員をターゲットにした最初のキャンペーンの1つだが(Check Pointの研究者らは2020年、別のキャンペーンを発見している)、これが最後になるとは考えにくい。PwCの最近の調査によると、例えばGoogle(グーグル)とMicrosoftの両社は社員をオフィスのキュービクルに戻し始めており、大多数の経営者は、2021年7月までに少なくとも50%の従業員がオフィスに戻って仕事をするようになると予想している。
Cofenseの戦略アドバイザーであるTonia Dudley(トニア・ダドリー)氏は、TechCrunchに次のように述べている。「脅威アクターはパンデミック期間中(雇用形態)トレンドに沿って活動しており、今後数カ月間は、職場復帰をテーマにした攻撃を仕かけてくることが予想されます。また、リモートワーカーも引き続き対象となるでしょう。雇用者がスタッフをオフィスに戻し始める一方で、今後はハイブリッドな仕事モデルも増えてくると思われます。どちらのグループも、フィッシング攻撃のターゲットになっていくでしょう」。
攻撃者は概して、グローバル環境に適応してそれを利用する。人口の大多数がリモート接続による仕事に移行したのにともない、リモートログインの認証情報を悪用しようとする攻撃が増えたように、オンプレミスのネットワークやオフィスワーカーを標的とした攻撃の数は、今後数カ月の間に増加していくと思われる。
関連記事
・グーグルが一部の従業員をオフィスに戻す計画を発表
・【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
・【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ
カテゴリー:セキュリティ
タグ:新型コロナウイルス、ハッカー、オフィス、フィッシング
画像クレジット:Hailshadow / Getty Images
[原文へ]
(文:Carly Page、翻訳:Aya Nakazato)