新たなフィッシング攻撃 メールと○○を組み合わせて政府職員から民間までを狙う

CISAやNSAは共同で、政府職員や民間に対するフィッシング攻撃が続発していると発表した。メールだけではなく「別のソフトウェア」を組み合わせて詐欺を働く手口だ。どのようなソフトウェアを使うのだろうか。

[David Jones，Cybersecurity Dive]

　米連邦政府職員に対するフィッシング攻撃が続いている。メール単体ではなく、別の方法と組み合わせた手口であるため、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）が2023年1月25日に警告を発した（注1）。

攻撃に使う新しい手口とは

　CISAとNSA（国家安全保障局）、MS-ISAC（複数国家情報共有分析センター）は、2022年6月以降、サイバー犯罪者が個人や政府機関の電子メールアドレスを使用して、民間の行政機関の職員にヘルプデスクをテーマにしたフィッシングメールを送信していたことを明らかにした。

　標的となった職員を悪意のあるドメインにアクセスさせることで、金銭の窃取を実行する。これが主な目的だ。しかし、今後は高度で持続的なAPT攻撃のために攻撃者がネットワーク内で持続的に活動する目的で使われる可能性があるという。どういう意味だろうか。

　メールと組み合わせて攻撃に使うのは「ConnectWise Control」（旧ScreenConnect）や「AnyDesk」などの正規の遠隔監視管理ソフトウェアだ。メールにはこれらの正規のツールをダウンロードするように指示が書かれている。正規のツールではあるものの、ツールの管理権限を攻撃者が持っているため、非常に危険だ。

　今回の勧告には2022年9月に確認されたフィッシングメールのサンプルが含まれており、被害者の銀行口座から「Geek Squad」（BestBuyの子会社）のサブスクリプション料金が引き落とされたと主張している。このメールには、被害者がサブスクリプションをキャンセルして返金を受けるために電話するように仕向ける電話番号が含まれていた。

　今回の攻撃は民間の行政機関の職員が対象だったが、連邦政府当局は巧妙な攻撃者がより機密性の高いターゲットに対して同じ技術を使用する可能性があると懸念している。

　「悪意のある攻撃者は正規の遠隔監視管理ソフトウェアを利用して、国家安全保障システムや国防総省、防衛産業基地の職員、職場や自宅の機器やアカウントのデータを狙うことが可能だ」（NSAの広報担当者）

　これらの機関やシステムの安全を確保するという使命の一環として、NSAは今回のガイダンスを公開した。「ネットワーク防御者が自宅や職場のデバイスやアカウントを悪質な攻撃者から保護できるようにすることが目的だ」（広報担当者）

　「特に、これらの組織が金銭的な動機のあるランサムウェア攻撃に狙われている場合、遠隔監視管理ソフトウェアは初期の不正アクセスから持続的なアクセスへ、さらにデータ流出につながる重要な攻撃ベクトルだ。連邦政府はもちろん、地方行政機関や重要なインフラが対象だ」（SecurityのTJセイヤーズ氏《サイバー脅威情報マネジャー》）

なりすましブランドの攻撃が拡大している

　勧告ではPayPalになりすました犯罪インフラを調査していたSilent Pushの調査を引用している。Silent Pushは脅威インテリジェンスを提供する企業だ。調査の結果「なりすましブランド」が広範囲に存在し、犯罪活動が民間企業のより大きなセグメントに脅威を与えていることが分かったという（注2）。

　Silent Pushのケン・バグナル氏（創設者兼CEO）は、「われわれの観察によると、これはより広い範囲を対象としており、全ての企業は警戒する必要がある」と述べる。

出典：Threat actors are using remote monitoring software to launch phishing attacks（Cybersecurity Dive）

注1：Protecting Against Malicious Use of Remote Monitoring and Management Software

注2："Infostealing Killed The Video Star": YouTube targeted in expansive Russian C2 malware operation.