Cloudflareのメールセキュリティチームは最近、新たなフィッシング手法を発見しました。攻撃者は、侵害したメールアカウントを利用し、正規のリンクラッピングサービスを介して悪意のあるリンクを偽装しています。ProofpointやIntermediaなどのサービスは、受信リンクを信頼できるドメインに書き換え、自動的にスキャンします。この保護メカニズムは、今回のケースではゲートウェイとして機能します。
リンクは本物らしく見える
攻撃者はURL短縮サービスを使ってリンクを短縮し、ハッキングしたアカウント経由で送信します。セキュリティ対策ソフトはリンクに「セキュア」なドメインを提供することで、正規のリンクに見えるようにします。しかし、URLの背後には、Microsoft 365のログインページを巧妙に模倣したフィッシングページが潜んでいます。「新着ボイスメール」「セキュリティ保護されたドキュメントを取得」「Microsoft Teamsに新着メッセージ」といった件名は、疑いを持たないユーザーを誘い込むように作られています。中には、セキュア通信システムとして広く知られている暗号化された「Zix」メッセージを装うメールもあります。
「返信」のような一見無害なボタンをクリックすると、認証情報を盗むための偽のログインページに直接誘導されます。Cloudflareによると、攻撃者は書き換えられたリンクの信頼性を利用してセキュリティフィルターを回避します。このような手口は目新しいものではありません。Googleドライブなどのサービスはすでに同様の悪用を受けていますが、リンクラッピングを標的とした攻撃は、フィッシングの手口における新たな一章となっています。
Cloudflare はレポートの中でこれについて次のように書いています。
リンクラッピングは、Proofpointなどのプロバイダーがユーザー保護のために利用しています。これは、クリックされたすべてのURLをスキャンサービスにルーティングすることで、既知の悪意のあるターゲットをクリック時にブロックできるようにするものです。[…] この防御方法は既知の脅威に対して非常に効果的です。しかし、ラップされたリンクがクリック時にスキャナーによって危険と判断されていない場合、攻撃が成功する可能性があります。
企業はセキュリティを再考する必要がある
これはユーザーと組織にとって警鐘です。悪意のあるリンクの自動検出だけではもはや不十分です。IT管理者は、ファイアウォールとメールフィルターを更新し、従業員のトレーニングを強化し、Microsoft 365アカウントに多要素認証を必須にする必要があります。これらの攻撃は、サイバー犯罪者がいかに容易に保護ツールを脆弱性に変えることができるかを浮き彫りにしています。
この記事はもともと当社の姉妹誌 PC-WELT に掲載され、ドイツ語から翻訳およびローカライズされました。
著者: René Resch、寄稿者、PCWorld
ルネは2013年からドイツのFoundryチームに所属しています。当初は開発チームでキャリアをスタートし、その後、ポータル管理の分野で研修生やフリーランスとして活躍しました。2017年からはフリーランスライターとして活動しています。特に、テクノロジーのトレンド、ゲーム、PCなどのトピックに興味を持っています。
