「Microsoft 365」を乗っ取る“闇キット”が大人気 被害者にならないためには?
Microsoft 365の多要素認証を回避し、ビジネスアカウントを侵害する自動ツールがダークWebで大量に販売されていた。どうやって防げばよいのだろうか。
ビジネスに使われるメールを侵害する「フィッシングキット」による被害が広がっている。過去10カ月の間に企業向け「Microsoft 365」のアカウントが少なくとも8000件侵害された(注1)。
2023年9月6日にこの状況を発表したのは、シンガポールを拠点とするサイバーセキュリティ企業Group-IBだ。
M365の多要素認証を回避する攻撃キットが闇市で売れている
Group-IBの研究者によると、Microsoft 365のビジネスアカウントへの攻撃を目的とした複数のフィッシングツールとカスタムフィッシングキットが「闇市」で販売されているという。
場所は会員紹介制のダークWebマーケットプレース「W3LL Store」だ。ここには500人以上のアクティブユーザーがいて、会員の紹介があれば数百ドルでツールが入手できるのだという。同社の推定によればW3LL Storeの売上高は10カ月で50万ドルに達したそうだ。
販売されているツールには、多要素認証を回避できるという特徴がある。
発表によれば攻撃者は2022年10月から2023年7月にかけて、米国やオーストラリア、欧州の5万6000以上の企業のMicrosoft 365アカウントをターゲットにフィッシングキャンペーンを展開した。
Group-IBの観測によると、その標的となった組織の半数以上が米国に拠点を置き、製造業やIT、金融サービス、コンサルティング、ヘルスケア、法律サービスに関連する組織が主な標的となった。
攻撃の成功率が高すぎる
ツールの威力はすさまじい。1回の攻撃が成功する確率は14%を超えるという。ビジネスメール詐欺を支えるサイバー犯罪市場の活発さが伝わってくる。
Group-IBの研究者は報告書で次のように記した。「(販売されているツールの一つ)『W3LL Panel』は主要な攻撃手段であり、このクラスのフィッシングキットとしては最も高度なものの一つだ。W3LL Panelは中間者攻撃機能を備え、独自のAPIを持ち、ソースコード保護などのユニークな機能を備えている」
Microsoft Threat Intelligence Centerは、2023年8月28日の週に、「X」(旧Twitter)の投稿で「中間者攻撃型のフィッシング技術が広がり、PhaaS(サービスとして提供されるフィッシング)のエコシステムが拡大している」と述べた(注2)。
多要素認証がダメになる条件とは
また、Microsoft Threat IntelligenceはXのスレッドで「PhaaSエコシステムの発展により、攻撃者は多要素認証による保護を回避できる大規模なフィッシングキャンペーンが実行可能になる」とも述べた(注3)。
Group-IBによると、W3LL Panelは16の追加ツールやカスタムツールと組み合わせることができ、攻撃者によるビジネスメール詐欺を容易にする。
「W3LLのツールが関与するフィッシングキャンペーンの文面は非常に説得力がある。多くの場合、ビジネスメール詐欺のキルチェーン全体をカバーする複数の開発ツールが含まれていて、高度な自動化とスケーラビリティも提供する」(Microsoftの研究者)
攻撃者は、侵害したアクセス権を使用してデータを盗んだり、偽の請求書を送信したり、アカウント所有者になりすましたり、マルウェアを配布したりする恐れがある。
セキュリティトレーニングを提供するKnowBe4でセキュリティ意識に関する業務を担当するエリック・クロン氏は次のように述べた。
「認証情報の盗難を原因とするアカウントの乗っ取りに対して、多要素認証が特効薬ではないことがこのツールの威力でよく分かった。多要素認証を回避する技術が経験の浅いサイバー犯罪者に提供される標準的な手法の一つだとすると、多要素認証を用いた防御には限界がある」
© Industry Dive. All rights reserved.
関連記事
- 「多要素認証」導入の手引き 失敗する理由は?
セキュリティの強度を補う手段に多要素認証がある。だが、SMS認証や指紋認証、物理トークンを用いた認証など多数の技術があり、選択基準が分かりにくい。どのように多要素認証を選べばよいのだろうか。 - 多要素認証が万能ではないシンプルな理由
MFA(多要素認証)はサイバー攻撃に対する万能薬ではない。MFAサービスを提供する企業が標的にされ、打ち負かされている。MFAが万能とはいえない“単純な理由”を紹介する