Cloudflare、フィッシングメールが受信トレイに届く前にブロックするArea 1 Securityを買収へ

Cloudflare(クラウドフレア)は、フィッシング攻撃が従業員の受信トレイに届く前に阻止する製品を開発したセキュリティスタートアップ、Area 1 Securityを買収する予定であることを発表した。Cloudflareは、現金と株式両方によるこの買収に約1億6200万ドル(約187億円)を投じる予定だ。

Cloudflareは、ゼロトラスト・セキュリティモデルを採用した独自のセキュリティ製品群を開発してきた。これらのセキュリティソリューションは、従業員がオフィス以外の場所にいる場合や会社のVPNを使用していない場合でも、データ損失やマルウェア、フィッシング攻撃を防ぐことができる。

米国時間2月24日の買収により、同社はそれらのゼロトラスト製品群に、成熟した電子メールセキュリティ製品を追加することになる。Area 1 Securityは、2021年だけで顧客のために4000万件以上のフィッシング詐欺キャンペーンをブロックしたと述べている。

Cloudflareの共同創業者兼CEOであるMatthew Prince(マシュー・プリンス)氏は声明で次のように述べている。「電子メールはインターネット上で最大のサイバー攻撃経路であり、真のゼロトラスト・ネットワークには統合された電子メールセキュリティが不可欠となります。それを含めて、Cloudflareのプラットフォームをゼロトラストの明確なリーダーにするために、本日、Area 1 Securityを同社に迎え入れることを歓迎します。当社にとってゼロトラストの未来とは、最も一般的なクラウドアプリケーションである電子メールを含む、組織のすべてのアプリケーションを保護するための統合されたワンクリックのアプローチです。私たちは共に、市場で最も速く、最も効果的で、最も信頼できる電子メールセキュリティを提供することを期待しています」。

Cloudflareのメール製品はこれが初めてではない。同社は2021年、最初のメール製品をローンチしている。たとえば、Cloudflareのアカウントにドメイン名を関連付け、CloudflareのインターフェースからカスタムEメールアドレスを作成することができる。受信したメールは、他のメール受信箱にリダイレクトすることが可能だ。

また、Cloudflareは、DNSレコードの改善やメールの安全性を高めるためのガイドも行っている。たとえば、スプーフィング攻撃の防止を支援することなどだ。

そして、Area 1 Securityは、Cloudflareが提供するEメール関連製品の重要なギャップを埋めるものだ。Area 1 Securityは、常に新しいフィッシング攻撃の発見と特定をしようとする。従業員が新しいメールを受信すると、Area 1 Securityは受信メールをスキャンしてフィッシングの試みがないか調べる。

不審なメールは、受信トレイに入る前に自動的にブロックされる。スパムフォルダに振り分けられるだけでなく、完全にブロックされるのだ。

舞台裏では、顧客はDNSレベルでMXレコードを変更することでArea 1 Securityの利用を開始することができる。その後は、クラウドファーストの製品なので、顧客がソフトウェアをインストールしたり、パッチを当てたりする必要はない。会社がGoogle WorkspaceやOffice 365を利用している場合、Area 1 Securityはこれらのメールプロバイダーと連携して動作する。

DNSサーバー分野でのCloudflareの深い専門性を考えると、この買収は理に適っている。Cloudflareは、すでに自社の従業員の受信トレイにArea 1 Securityを使用していた。つまり、自分たちが何を買収しているのか、すでによく知っているのだ。

画像クレジット:Daria Nepriakhina / Unsplash

原文へ

(文:Romain Dillet、翻訳:Den Nakano)

アップルがiOS 15.2.1リリース、iPhoneとiPadにHomeKitの欠陥に対するパッチを適用

Apple(アップル)は、iOSおよびiPadOSに存在するセキュリティ脆弱性を修正した。この脆弱性は、HomeKitを介して悪用され、持続的なサービス拒否(DoS)攻撃の標的となる可能性がある。

Appleは米国時間1月12日にiOS 15.2.1およびiPadOS 15.2.1をリリースし、セキュリティ研究者のTrevor Spiniolas(トレバー・スピニオラス)氏によって1月初めに開示された、いわゆる「doorLock」と呼ばれる欠陥を修正した。このバグはiOS 14.7からiOS 15.2を搭載したiPhoneおよびiPadに影響するもので、Appleのスマートホーム基盤であるHomeKitを介して発生する。

このバグを悪用するには、攻撃者はHomeKitデバイスの名前を50万文字を超える文字列に変更する必要がある。この文字列がユーザーのiPhoneやiPadに読み込まれると、デバイスのソフトウェアがサービス拒否(DoS)状態に陥り、フリーズを解除するために強制リセットが必要になる。しかし、デバイスが再起動し、ユーザーがHomeKitにリンクされたiCloudアカウントにサインインし直すと、再びバグがトリガーされる。

ユーザーがHomeKitでデバイスを1つも追加していなくても、攻撃者は偽のHomeネットワークを作成し、フィッシングメールでユーザーを騙して参加させることができる。さらに悪いことに、攻撃者はdoorLock脆弱性を利用して、iOSユーザーに対してランサムウェア攻撃を仕かけ、デバイスを使用できない状態にロックして、HomeKitデバイスを安全な文字列長に戻すために身代金の支払いを要求することができると、スピニオラス氏は警告している。

スピニオラス氏によると、Appleは2021年のセキュリティアップデートでこの問題を修正することを約束していたが、これが「2022年初頭」まで延期されたため、同氏はこの遅れがユーザーに「深刻なリスク」をもたらすことを恐れてバグを公開したとのこと。

「Appleはセキュリティ問題を確認し、私はこの4カ月間に何度もこの問題に真剣に取り組むよう彼らに促したにもかかわらず、ほとんど為されていませんでした」と同氏は書いている。「頻繁に要求したにもかかわらず、この問題に関するステータスの更新は稀で、並外れて少ない詳細情報しか得られなかったのです」。

「Appleの透明性の欠如は、しばしば無償で活動しているセキュリティ研究者を苛立たせるだけでなく、セキュリティ問題に関するAppleの説明責任を低下させることで、日々の生活でApple製品を使用している何百万人もの人々にリスクをもたらしています」とも。

このアップデートは現在ダウンロード可能で、iPhone 6s以降、iPad Pro全モデル、iPad Air 2以降、iPad第5世代以降、iPad mini 4以降、iPod touch(第7世代)が対象となる。

画像クレジット:file photo

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

Meta、同社プラットフォームでフィッシング詐欺を行う個人摘発のため連邦政府に提訴

Meta(旧Facebook)は米国時間12月20日、フィッシング詐欺を行っている個人を摘発するために、カリフォルニア州の連邦裁判所に訴訟を起こしたと発表した。同社によると、今回の法的措置は、Facebook(フェイスブック)、Messenger(メッセンジャー)、Instagram(インスタグラム)、WhatsApp(ワッツアップ)の偽ログインページでログイン認証情報を共有するように仕向けるフィッシング攻撃を途絶させることを目的としている。

フィッシング詐欺は、一見すると正規に見えるが実際には偽のウェブサイトに無防備な被害者を誘い込む。そして、パスワードや電子メールアドレスなどのセンシティブな情報を入力するよう、被害者を説得する。Metaによると、フィッシング詐欺の一環としてFacebook、Messenger、Instagram、WhatsAppのログインページになりすましているウェブサイトが3万9000以上見つかっているという。また、フィッシング攻撃の報告は増加傾向にあり、これらの攻撃に対して法的措置を取るために今回の提訴に至ったとしている。

Metaのプラットフォーム執行・訴訟担当ディレクターのJessica Romero(ジェシカ・ロメロ)氏は「これらのウェブサイト上で人々はユーザー名とパスワードを入力するよう促され、被告らはそれを収集しました」とブログ記事で書いている。「攻撃の一環として、被告らは攻撃インフラを見えなくするよう、インターネットトラフィックをフィッシングウェブサイトにリダイレクトするためにリレーサービスを使用しました。これにより、フィッシング・ウェブサイトの本当の場所、そしてオンラインホスティングプロバイダーと被告の身元を隠すことができたのです」。

ロメロ氏によると、3月にMetaはリレーサービスと協力して、フィッシングウェブサイトをホストしていた数千のURLを停止する作業を開始した。Metaは、今後もオンラインサービスプロバイダーと協力して、フィッシング攻撃を妨害する計画だ。また、セキュリティコミュニティやドメイン名レジストラなどに対して、悪用例を積極的にブロックするよう働きかけているともしている。また、他のプラットフォームでもブロックできるよう、フィッシングのURLを共有しているという。

「この訴訟は、人々の安全とプライバシーを保護し、我々のプラットフォームを悪用しようとする人々に明確なメッセージを送り、技術を悪用する人々の説明責任を高めるための、我々の継続的な取り組みにおけるさらなるステップです」とロメロ氏はブログ記事で書いた。

Metaが同社のプラットフォームでフィッシング詐欺を取り締まるのは、今回の訴訟が初めてではない。同社は11月、シリアとパキスタンの4つのハッカーグループに対して措置を講じたことを明らかにした。これらのグループは、フィッシングリンクを使ってユーザーを操作し、Facebookの認証情報を得ていた。2021年3月にはMetaは、中国の「Earth Empusa」または「Evil Eye」と呼ばれるハッカー集団にも措置を取った。当時Facebookという社名だったMetaは、ハッカーが同社のインフラを使用してプラットフォームを悪用する能力を崩壊させたと述べた。同社はまた、2020年にバングラデシュとベトナムのハッカーに対して同様の措置を取った

画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Aisha Malik、翻訳:Nariko Mizoguchi

グーグルが政府系ハッカーに狙われている「高リスク」ユーザーにセキュリティキーを無償提供

数日前に国家ぐるみのハッカーに狙われていることを何千人というGmailユーザーに警告したGoogle(グーグル)は「高リスク」のユーザー1万人にハードウェアセキュリティキーを無償で提供すると発表した。

この警告はGoogleのThreat Analysis Group(TAG)が送信したもので、1万4000人超のGmailユーザーに対して、ロシアの情報機関GRUの工作員で構成されているといわれるAPT28(別名Fancy Bear)による国家主導のフィッシングキャンペーンの標的になっていると注意を促した。Fancy Bearは10年以上前から活動しているが、米民主党全国委員会へのハッキングや、2016年の米国大統領選挙での偽情報拡散や選挙へ影響を与えるキャンペーンを行っていたことで広く知られている。

「これらの警告は、妥協ではなくターゲティングを示しています。あなたに警告する場合、当社が阻止する可能性はかなり高い」。GoogleのTAGディレクターであるShane Huntley(シェーン・ハントリー)氏は米国時間10月7日、Twitterで述べている。「今月の増加している数は、広範囲をターゲッにしたブロックされた少数のキャンペーンによるものです」。

ハントリー氏は、活動家やジャーナリスト、政府関係者などの個人にとっては、こうした警告は普通のことだと付け加えたが、それは政府が支援するハッカーがターゲットにしているからだ。「活動家、ジャーナリスト、政府関係者、あるいは国家安全保関連の仕事をしている人にとって、この警告は正直、驚くべきことではありません。政府の支援を受けたハッカーが、ある時点であなたに何かを送ろうとするでしょう」と彼はいう。

Googleはブログで、2021年中にセキュリティキーを送付し、標的型オンライン攻撃の危険性がある可視性の高い機密情報を持つユーザーを保護するAdvanced Protection Program(APP)への登録を促すと述べた。セキュリティキーは、正規のウェブサイト上でのアカウントのロック解除にしか使用できないため、フィッシング攻撃しにくくなる。

関連記事:Googleの高度な保護機能プログラムに対マルウェア保護が加わる

また、Googleは、最もリスクの高いユーザーのセキュリティを強化するために、国際選挙制度財団(IFES)、国連女性機関(UN Women)、非営利団体Defending Digital Campaigns(DDC)との新規および拡張パートナーシップを発表した。

DDCとの提携により、Googleは2020年の米国の選挙期間中、180以上の連邦政府のキャンペーンにTitan Security Keyを提供しており、現在は州レベルのキャンペーンや政党、委員会、関連組織に対して、サイバー攻撃からの保護に関するワークショップやトレーニングなど、さらなる保護を提供するために同組織と協力していると述べた。

画像クレジット:Veanne Cao / TechCrunch

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

ランサムウェアが企業に与える莫大な金銭的被害は身代金だけじゃない

ランサムウェアが話題にならない日はほとんどない。先週、ITコンサルティング大手のAccenture(アクセンチュア)がランサムウェア「LockBit(ロックビット)」の被害に遭ったばかりだが、その数日後には、台湾のノートPCメーカーであるGigabyte(ギガバイト)もランサムウェアの被害に遭ったとみられ、ハッカーたちによってAMDとIntel(インテル)の機密データがギガバイト単位で流出した。

ランサムウェアは、新型コロナウイルス感染拡大時に急増したが、依然として企業にとって最も費用の掛かる問題の1つである。米国の大企業はランサムウェアによって毎年平均566万ドル(約6億2400万円)もの損害を被っている。しかし、新たな調査結果によると、それはあなたが考えるような理由からではない。

ハッカーから数百万ドル(数億円)規模の身代金の支払いを要求されるという話はよく耳にするが、Proofpoint(プルーフポイント)とPonemon Institute(ポネモン・インスティテュート)の調査によると、身代金の支払いがランサムウェア攻撃に対する総費用に占める割合は一般に20%以下であることがわかった。年間566万ドルという数字のうち、身代金の支払いは79万ドル(約8700万円)に過ぎないということだ。それよりもむしろ、生産性の低下や、ランサムウェア攻撃を受けた際の対応や後始末に時間がかかることが、企業の損失の大半を占めているという調査結果が出ている。

Proofpointによると、平均的な規模の組織の復旧プロセスには平均3万2258時間が必要で、これにIT部門の平均時間労賃63.50ドル(約7000円)を掛けると、合計200万ドル(約2億2000万円)以上になる。また、作業休止や生産性低下もランサムウェア攻撃が招く支出増の一部だ。例えば、2020年のランサムウェア攻撃における約20%の根本原因と判断されたフィッシング攻撃は、2015年の180万ドル(約2億円)から、2021年には320万ドル(約3億5000万円)もの従業員の生産性低下をもたらしている。

「ランサムウェア攻撃を受けると、従業員と影響を受けた外部関係者との間で連絡ややり取りが膨大に増えることになり、多くのチームは『日常業務』の一部である既存の仕事をすべて直ちに中止し、数日から数週間、あるいは数カ月間も、この緊急の問題に集中しなければならなくなる可能性があります」と、ProofpointのAndrew Rose(アンドリュー・ローズ)氏はTechCrunchに語った。

「必然的に、顧客や規制当局からの監視が厳しくなり、第三者機関への依存度が高まります。これには顧客や規制当局の求めによる外部監査の大幅な増加も含まれますが、これも作業コストの増加につながります。また、規制当局からの罰金や、顧客からの集団訴訟の可能性もあります」と、ローズ氏は語る。

企業が取り組まなければならない金銭的な問題はこれで全部ではない。ランサムウェアの被害に遭った企業は、サイバー保険料の増加や高額なIT経費を強いられ、広報チームや法務担当者、カスタマーサービスの人件費、そして外部の専門家への支出も増加する可能性がある。

また、このような攻撃を受けた場合、ブランドや評価に傷がつくこともある。Cybereason(サイバーリーズン)による最近の調査では、米国企業の半数以上が、ランサムウェアの攻撃によって自社のブランドが損なわれたと報告している。

「上場企業の場合は、株価が下がる可能性もあります」と、ローズ氏は付け加えた。「また、顧客は自分のデータが危険にさらされていたことを知ると、その企業に対する信頼を失い、競合他社に乗り換えてしまうことも考えられます。それによって収益が低下する恐れもあります」。

関連記事
米国がExchangeサーバーのハッキングとランサムウェア攻撃で中国を非難、政府系ハッカー4人を起訴
ランサムウェアの問題を可視化するクラウドソースの身代金支払い追跡サイト「Ransomwhere」
独立記念日を狙うKaseyaのハッキング、ランサムウェアで何百もの企業に被害
画像クレジット:Bryce Durbin / TechCrunch

原文へ

(文:Carly Page、翻訳:Hirokazu Kusakabe)

Google Workspaceの暗号化キーをエンタープライズ顧客が自ら保存可能に

2020年1年間でGoogleドキュメントは至るところで使われるようになったが、Googleドキュメントを使用している無数の職場で見落とされがちな大きな批判は、エンド・ツー・エンド暗号化(E2EE)されていないため、Google(グーグル)やまたは要請する政府機関が企業のファイルにアクセスできてしまうということだ。しかしGoogleは今回の一連のアップデートにより、この重要な不満にようやく対処することになった。企業顧客は、自らの暗号化キーを保存することでデータを保護できるようになる。

企業のデータがGoogleには解読不能になるよう、Googleドキュメント、スライド、スプレッドシートを含む企業向けサービスであるGoogle Workspace(旧G Suite)にはこれからクライアントサイド暗号化(CSE)機能が追加される。

Google Workspaceを利用している企業は、現在4社あるパートナーのうちの1社を使い暗号化キーを保存できる。Flowcrypt、Futurex、Thales、Virtruの4社が、Googleの仕様に対応している。この動きは、金融、医療、防衛など、知的財産やセンシティブなデータがプライバシーやコンプライアンスに関する厳しいルールにさらされている規制産業を主な対象としている。

画像クレジット:Google

本当に重要な部分は、年内にグーグルがAPIの詳細を公開し、企業顧客が独自の社内鍵サービスを構築できるようにすることで、そうなれば各企業が暗号化キーを直接管理できるようになる。つまり、政府が企業のデータを欲しがっている場合、その企業の玄関を正面からノックしなければならず、裏口からこそこそ鍵の所有者に法的要求を出せなくなるというわけだ。

Googleはクライアントサイド暗号化がどのように機能するかの技術的な詳細を公開しており、今後数週間のうちにベータ版として提供開始する予定だ。

テック企業が法人顧客に自分の暗号化キーを管理させる例は、近年増加傾向にある。Slack(スラック)やクラウドベンダーのEgnyteは、企業ユーザーが独自の暗号化キーを保存できるようにし、事実上監視ループから自らを切り離すことでこのトレンドをリードした。しかしGoogleは長い間、暗号化について腰を上げようとしなかったため、数々のスタートアップ企業は、最初から暗号化を組み込んだ代替手段を構築しようとしている。

同社は、Googleドライブでのファイル共有に関する新たな信頼ルールを導入し、管理者がさまざまなレベルの機密ファイルの共有方法をより細かく設定できるようにした他「secret(機密)」や「internal(内部)」など、ドキュメントの機密レベルを示す新たなデータ分類ラベルを導入したと述べた。

また、マルウェア対策の強化として、組織内から共有されるフィッシングやマルウェアをブロックする機能を追加したという。これは、従業員が悪意のある文書を誤って共有するのを防ぐことを目的としている。

関連記事
グーグルの「Workspace」アプリが相互連携を強化し12の新機能を追加、囲い込みがさらに進む
GoogleがWorkspaceの新機能を発表、現場で働く従業員向けのWorkspace Frontlineも追加
G SuiteがGoogle Workspaceにリブランド、チャットルームでドキュメント作成コラボも可能に

カテゴリー:セキュリティ
タグ:GoogleGoogle WorkspaceGoogleドキュメントGoogleスライドGoogleスプレッドシート暗号化エンド・ツー・エンド暗号化マルウェアフィッシング

原文へ

(文:Zack Whittaker、翻訳:Aya Nakazato)

富士フイルムにランサムウェア攻撃か、ネットワークを遮断し調査

日本の多国籍企業、富士フイルムランサムウェアとみられる攻撃を受けた後、グローバルネットワークの一部停止を余儀なくされた。

デジタル画像プロダクトでよく知られているが、新型コロナウイルス検査迅速処理のためのデバイスなどハイテクな医療キットも製造している同社は、東京に置く本社がサイバー攻撃を受けたことを6月1日夜に確認した。

「現在、当社が利用しているサーバーに対する、外部からの不正なアクセスの疑いがあり、調査を進めております。調査のため、一部ネットワークを遮断し、外部との通信を停止しております」とウェブサイトに掲示した声明文で述べた。

「本件に関し、現時点で判明している事実と当社の対応をご報告いたします。2021年6月1日深夜に、ランサムウェアによる攻撃があった可能性を認識しました。その後、当社の海外法人と協力して影響可能性のあるすべてのシステムを遮断する措置を取りました」。

「現在、本件被害の内容や範囲等の特定を進めております。お客様、お取引先様に多大なるご迷惑およびご心配をおかけしますことを深くお詫び申し上げます」。

部分的なネットワーク遮断の結果、米国富士フイルムはウェブサイトに、現在電子メールや電話などを含むあらゆるコミュニケーション手段が影響を受けていると情報を追加した。先の発表では、サイバー攻撃によって注文を受けたり処理したりすることができなくなっていることも明らかにしていた。

富士フイルムはTechCrunchのコメントの求めにまだ応じていない。

富士フイルムは攻撃に使われたランサムウェアの身元など詳細については固く口を閉ざしているが、Bleeping Computerは富士フイルムのサーバーがQbotに攻撃されたと報じている。Advanced IntelのCEO、Vitali Kremez(ヴィタリ・クレメツ)氏はBleeping Computerに、富士フイルムのシステムは2021年5月、13年前から出回るようになったトロイの木馬によって攻撃されたと語った。この攻撃は通常フィッシングで始まる。

QakBotあるいはQuakBotとしても知られるQbotのクリエイターらは、ランサムウェアオペレーターと提携してきた長い歴史を持つ。以前はProLockとEgregorというランサムウェアギャングとも協業していたが、最近では悪名高いREvilグループとつながっていると言われている。

「初期のフォレンジック分析では、富士フイルムへのランサムウェア攻撃は先月Qbotのトロイの木馬感染で始まり、それを足掛かりにハッカーたちは2つめのランサムウェアペイロードを仕かけたと思われます」とProPrivacyのデジタルプライバシー専門家Ray Walsh(レイ・ウォルシュ)氏はTechCrunchに語った。「直近ではQbotのトロイの木馬はREvilハッキング集団によって活発に悪用されていて、ロシア拠点のハッカーたちが今回のサイバー攻撃の背後にいる可能性はかなり高いようです」。

Sodinokibiとしても知られるREvilは被害者のファイルを暗号化するだけでなく、被害者のネットワークからデータを抜き取る。ハッカーらは通常、身代金が支払わなければ被害者のファイルを公開すると脅す。しかしREvilが盗んだデータを公開するのに使用するダークウェブにあるサイトは、この記事執筆時点でオフラインだった。

ランサムウェア攻撃は新型コロナウイルスパンデミックが始まって以来、増加の一途を辿っていて、サイバー犯罪で最大の金を稼ぐ手法となった。脅威ハンティングとサイバーインテリジェンスのGroup-IBは、ランサムウェア攻撃の件数は2020年に150%超増え、要求する身代金は2倍超の17万ドル(約1875万円)に増えたと推定する。

富士フイルムがシステムへの攻撃に関与したハッカーたちに身代金を支払ったかどうか、現時点では不明だ。

関連記事
コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
アップルM1チップで「修正できない脆弱性」CVE-2021-30747が発見される、ただし悪用は困難

カテゴリー:セキュリティ
タグ:富士フイルムランサムウェアフィッシングハッカーサイバー攻撃

画像クレジット:Kazuhiro Nogi / AFP / Getty Images

原文へ

(文:Carly Page、翻訳:Nariko Mizoguchi

コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に

新型コロナウイルス関連の規制が解除され、従業員がオフィスに戻り始めたことで、ハッカーたちは活動の転換を迫られている。この18カ月間、詐欺師の主なターゲットはパンデミックの影響で在宅勤務に移行したリモートワーカーだったが、今度は物理的なオフィスに戻り始めたスタッフを標的にした新たなフィッシングキャンペーンが展開されている。

フィッシングメール防御ソリューションを専門とするCofenseが確認したこの電子メールベースのフィッシングキャンペーンは、CIO(最高情報責任者)からの職場復帰歓迎のメールを装って従業員をターゲットにする。

メールのヘッダーには企業の公式ロゴが入っており、CIOになりすました署名も入っているため、十分に正当なものに見える。メッセージの大部分は、パンデミックに関連して会社が取っている新しい予防措置や業務の変更について説明しているという。

従業員がこのメールに騙されてしまった場合、企業ブランドの入った文書が2つ掲載されたMicrosoft SharePointページに見えるリンクにリダイレクトされることになる。Cofenseのフィッシング防御センターの脅威アナリストであるDylan Main(ディラン・メイン)氏はこう述べている。「これらのドキュメントを操作すると、これらが真正ではなく、アカウント情報を取得するためのフィッシングの仕組みであることがわかります」。

しかし、被害者がいずれかの文書にアクセスしようとすると、ログインパネルが表示され、ファイルにアクセスするためのログイン認証情報を入力するよう求められる。

「これは、Microsoft(マイクロソフト)のログイン画面を偽装して認証パネルを開くという、Microsoftフィッシングページではあまり見られない手法です」とメイン氏は語る。「ファイルが本物であるかのように見せかけ、別のログインページにリダイレクトしないことで、ユーザーは更新内容を見るために認証情報を提供する可能性が高くなるかもしれません」。

ハッカーが採用しているもう1つの手法は、有効な認証情報が入力されているにも関わらずエラーを偽装することだ。パネルにログイン情報を入力すると、最初の数回は、次のようなエラーメッセージが表示される。「アカウントまたはパスワードが正しくありません」。

「ログイン情報を何度か入力すると、従業員は実際のMicrosoftのページにリダイレクトされます」とメイン氏はいう。「これにより、ログイン情報が正しく、従業員がOneDriveドキュメントにアクセスできたように見えます。実際には、攻撃者はこの時点でアカウント所有者の情報に完全にアクセスできるようになっています」。

これは職場復帰する従業員をターゲットにした最初のキャンペーンの1つだが(Check Pointの研究者らは2020年、別のキャンペーンを発見している)、これが最後になるとは考えにくい。PwCの最近の調査によると、例えばGoogle(グーグル)とMicrosoftの両社は社員をオフィスのキュービクルに戻し始めており、大多数の経営者は、2021年7月までに少なくとも50%の従業員がオフィスに戻って仕事をするようになると予想している。

Cofenseの戦略アドバイザーであるTonia Dudley(トニア・ダドリー)氏は、TechCrunchに次のように述べている。「脅威アクターはパンデミック期間中(雇用形態)トレンドに沿って活動しており、今後数カ月間は、職場復帰をテーマにした攻撃を仕かけてくることが予想されます。また、リモートワーカーも引き続き対象となるでしょう。雇用者がスタッフをオフィスに戻し始める一方で、今後はハイブリッドな仕事モデルも増えてくると思われます。どちらのグループも、フィッシング攻撃のターゲットになっていくでしょう」。

攻撃者は概して、グローバル環境に適応してそれを利用する。人口の大多数がリモート接続による仕事に移行したのにともない、リモートログインの認証情報を悪用しようとする攻撃が増えたように、オンプレミスのネットワークやオフィスワーカーを標的とした攻撃の数は、今後数カ月の間に増加していくと思われる。

関連記事
グーグルが一部の従業員をオフィスに戻す計画を発表
【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ

カテゴリー:セキュリティ
タグ:新型コロナウイルスハッカーオフィスフィッシング

画像クレジット:Hailshadow / Getty Images

原文へ

(文:Carly Page、翻訳:Aya Nakazato)

6億台以上のブラウザは現在もアドレスバー騙しバグが未修正、AppleのSafari、Opera、Yandexなどは修正済み

年を追うごとに、フィッシングはアタッカーがパスワードを盗む最もよく使われる手段になってきている。ユーザーとして、我々はフィッシングサイトの明らかな兆候を見つけることにかなり慣れているが、ほとんどの人はブラウザのアドレスバーでウェブアドレスを見て、サイトが本物かどうかを確認する。

しかし、ブラウザのフィッシング対策機能(フィッシング被害者予備軍にとって最後の防御ラインであることが多い)も完全ではない。

セキュリティー研究者のRafay Baloch(ラファイ・バロック)氏は、Apple(アップル)のSafari、Opera、Yandexなど現在最もよく使われているモバイルブラウザに、アタッカーがブラウザを騙し、ユーザーのいるウェブサイトと異なるウェブアドレスを表示させることのできる脆弱性があることを発見した。こうしたアドレスバー騙しバグによって、アタッカーはフィッシングを本物のウェブサイトに見せかけるのがずっと容易になり、パスワードを盗むのにおあつらえ向きの環境が生まれる。

一連のバグは、脆弱なブラウザがウェブページを読み込む時間を要するという弱点につけ込むことで悪用される。被害者がフィッシングメールやテキストメッセージで偽のリンクを開いた瞬間、悪意あるウェブページはページに隠されたコードを実行して、ブラウザのアドレスバーに表示された悪意あるウェブアドレスを、アタッカーの選んだ任意のウェブアドレスに置き換える。

少なくとも1つのケースで、その脆弱なブラウザは緑の南京錠アイコンを表示したまま、アドレスを書き換えられた悪意あるウェブページが本物であることを示してしまった。実際にはそうでないのに。

Opera Touch for iOS(左)とBolt Browser(右)のアドレスバー騙しバグ。こうしたバグによってフィッシングメールがはるかに信用されてしまいやすくなる(画像提供クレジット:Rapid7)

Rapid7の研究担当ディレクターで、バロック氏と協力して各ブラウザメーカーに脆弱性を報告したTod Beardsley(トッド・ビアズリー)氏は、アドレスバー騙し攻撃はとりわけモバイルユーザーを危険に曝すと指摘している。

「モバイルでは画面スペースは非常に貴重なので、1ミリも無駄にできません。その結果、セキュリティーのシグナルやアイコンのためのスペースがあまりありません」とビアズリー氏はTechCrunchに語った。「デスクトップブラウザでは、現在いる場所のリンクを見たり、リンクにマウスをかざしてどこへ飛ぶのかを調べたり、南京錠をクリックして詳しい証明書を見ることもできます。こうした追加情報はモバイルではまず得られないので、アドレスバーはユーザーに現在いるサイトを教えるだけでなく、そこに曖昧性がなく確信を持ってユーザーに知らせることが求められます。もしあなたが「palpay.com」にいるにも関わらず、本来の「paypal.com」でなければ、パスワードを入力する前に自分がフェイクサイトにいることがわかります」。

「この手の騙しは、アドレスバーを曖昧にすることで、アタッカーが自分の偽サイトに一定の信用と信頼を与えることが可能になります」とビアズリー氏はいう。

バロック氏とビアズリー氏によると、メーカーの対応はまちまちだという。

これまでにアップルとYandexだけが9月と10月に修正を発行した。Opera広報のJulia Szyndzielorz(ジュリア・ジーンツィエルボルツ)氏は、ブラウザのOpera TouchとOpera Miniの修正を「徐々に公開する」と語っている。

しかしUC Browser、Bolt BrowserおよびRITS Browser(合わせて6億台以上の端末にインストールされている)は、研究者らへの返信がなく脆弱性は修正されないままだ。

TechCrunchは各ブラウザメーカーに連絡をとったが、いずれもまだ返事がない。

関連記事
社員がフィッシング詐欺にあわないように偽メールを送り教育する「Riot」
Googleには検索結果を改ざんして簡単に誤情報を拡散できるバグがある

カテゴリー:セキュリティ
タグ:AppleOperaYandexフィッシング

画像クレジット:RobertAx / Getty Images

原文へ

(翻訳:Nob Takahashi / facebook