5,000件以上の偽のMicrosoft通知がフィッシング攻撃を誘発

チェック・ポイントのハーモニー・メール＆コラボレーション・チームは、電子メールによる恐喝につながる可能性のある、マイクロソフト製品の通知を装った5,000通以上の電子メールを検出したと、サイバーセキュリティ企業チェック・ポイントは10月2日に発表した。これらの電子メールは、洗練された外観と正規のリンクが含まれていることで目立っている。

この発表はサイバーセキュリティ啓発月間の一環として行われ、フィッシング攻撃によってもたらされる継続的なリスクを強調しています。

洗練された外観で目立つメール詐欺キャンペーン

これらのメールは「正当な管理者を装った組織ドメイン」から送信されており、内部管理者、同僚、またはビジネスパートナーから送信されたかのように見せかけます。偽メールには正規のMicrosoftまたはBingページへのリンクが含まれているため、セキュリティ意識の高い従業員であっても、疑わしいURLをスキャンするだけで詐欺に気付くのは困難です。

チェック・ポイントは、偽のメールにログインすることで攻撃者にログイン情報を提供し、「メールアカウントの乗っ取り、ランサムウェア、情報窃盗、その他の悪質な結果につながる可能性がある」と指摘した。攻撃者がこれまでに誰かを攻撃することに成功したかどうかについては、同チームは何も明らかにしていない。

チェック・ポイントの調査によると、2023年、フィッシング詐欺で最もなりすましの対象となったブランドはマイクロソフトでした。その他、なりすましキャンペーンで最も多く利用された企業は、Google、Apple、Wells Fargo、Amazonでした。

参照: 学校を標的としたサイバー攻撃が多数発生しているにもかかわらず、サイバーセキュリティのトレーニングに関しては、教育者は十分なサービスを受けられていないコミュニティである可能性があります。

アカウント情報詐欺から身を守る方法

従業員は、メールが不審な場合はいつでも、管理者や同僚に直接連絡できる権限を持つべきです。フォルダの共有やビジネスソフトウェアを使った共同作業の依頼を期待していない場合は、対応する前に、相手に直接メールの内容を確認してください。

個人はスペルミスや不自然な表現にも注意する必要があります。しかし、Check Pointが検出した手法では、実際のMicrosoftプライバシーポリシーをコピー＆ペーストすることで、この点を回避していました。

怪しいメールには必ず間違いがあるという古い考えは、もはや必ずしも真実ではありません。攻撃者はこの期待を認識しており、フィッシング攻撃をより説得力のあるものにするために、正しい文法を利用することがよくあります。さらに、生成AIにより、文法的に正しいメールを簡単かつ迅速に作成できます。

組織をサイバーセキュリティで保護するための専門家のアドバイスに従ってください。

• セキュリティ アップデートには最新のバグに対する防御機能が含まれることが多いため、オペレーティング システムとアプリケーションを最新の状態に保ってください。
• 信頼できるスパム対策フィルターを備えた電子メール サービスを使用します。
• IT 管理者は、詐欺師の最新の手法について従業員に定期的に意識啓発トレーニングを実施する必要があります。

さらに、Microsoftなどの大企業から送信されたように見えるメールにも注意が必要です。しかし、普段その企業のサービスを利用している方法とは一致しない可能性があります。Fortinetは、IPアドレス逆引きツールの使用や、ドメインベースメッセージ認証（DBA）レポート＆コンフォーマンスプロトコルを用いたメールアカウントの監査など、技術的な予防策を推奨しています。

メール管理者は、権限のないユーザーがSMTPポートに直接接続できないようにメールサーバーを設定する必要があります。同様に、ファイアウォールの外側からのSMTP接続が中央のメールハブを経由するようにすることで、組織内でメールのなりすましが発生した場合でも、追跡が容易になります。

こちらもご覧ください

• 安全なパスワードの作り方：2024年に向けた7つのベストプラクティス
• オーストラリアの組織がアトラシアンを装ったフィッシング攻撃の標的に
• マイクロソフトの取り組みは「史上最大のサイバーセキュリティエンジニアリングの取り組み」
• 2024年版サイバー脅威ハンティングツール トップ7
• サイバーセキュリティ：さらに読むべき記事