MicrosoftやAWSが警告するフィッシング攻撃 ただの攻撃と何が違うのか

フィッシング攻撃と言えば、広く浅く一般消費者を狙うものがほとんどだ。だが、MicrosoftやAWSが警告する攻撃はこのようなものとは異なる。IT企業や政府機関を狙う攻撃だ。何が危険なのだろうか。

[David Jones，Cybersecurity Dive]

　MicrosoftやAmazon Web Services（AWS）のセキュリティ担当者があるサイバー攻撃に対して警告を発した。IT企業や政府機関を狙う攻撃で、リモートデスクトップを使っているユーザーが危険にさらされるという。

Midnight Blizzardの攻撃は何が危険なのか

　警告の対象となった攻撃グループ「Midnight Blizzard」は、2024年の初めにMicrosoftの上級幹部のアカウントをハッキングし（注1）、米国の連邦政府機関にアクセスした経緯がある。

　2024年10月31日、サイバーセキュリティ・インフラストラクチャセキュリティ庁（CISA）は、リモートデスクトップ接続を狙った広範囲のスピアフィッシング攻撃について、政府機関やIT企業を標的とする外国の攻撃者に関する複数の報告を受けていると発表した（注2）。

　Microsoft Threat Intelligenceは2024年10月29日の報告で（注3）、数千のターゲットに攻撃メールが送信されたという。これらのメールの宛先は政府や防衛機関、学術機関を含む100以上の組織だった。攻撃者は信頼性を高めるためにMicrosoftの従業員を装うこともあった。

　AmazonのCJ・モーゼス氏（CISO《最高情報セキュリティ責任者》、セキュリティエンジニアリング・バイスプレジデント）は、2024年10月21日週に「『APT29』という名称でも知られており、ロシアの対外情報局に所属する脅威グループによって悪用されているインターネットドメインを特定した」と述べた（注4）。モーゼス氏によると、このフィッシングキャンペーンはウクライナで始まり、ロシアの敵から認証情報を盗むことを目的に設計されていたという。

ただのフィッシング攻撃とは何が違うのか

　フィッシング攻撃とスピアフィッシング攻撃の違いは2つある。スピアフィッシング攻撃では特定のターゲットを狙い、攻撃手法が高度だ。

　フィッシング攻撃は特定の個人を狙っていない。フィッシングメールを無差別に送り付けて、ごく一部が引っかかることを狙う。メールの内容も単純だ。一般消費者向けのサービスを展開する企業や公的機関を装って、リンクをクリックさせたり、認証情報を入力させたりする。

　スピアフィッシングは特定の個人や組織の機密情報を狙った攻撃だ。攻撃者はターゲットに関する詳細な情報を事前に収集して、その情報を基に個別化されたメッセージを作り上げる。その結果、だまされるリスクが高い。

　攻撃者はターゲットの職業や役職、興味などに基づいてメッセージを個別化する。同僚や上司、取引先を装ったメールが送られることが多く、業務に関連する内容が含まれていることで、受信者のガードが下がる。ターゲットの行動や心理を利用するため、ソーシャルエンジニアリングを利用することも多い（キーマンズネット編集部）。

　Microsoftの研究者は2024年10月22日にこのスピアフィッシング攻撃を初めて観測した。ターゲットは数十カ国に及ぶ。国別では主に英国や欧州、日本、オーストラリアに集中していた。

　この攻撃ではメールに悪質なRDPの設定ファイル（RDPファイル）が含まれていた。この設定ファイルをユーザーが使ってしまうと攻撃者が制御するサーバへ接続されてHDDの内容が漏えいする。クリップボードの内容やプリンタ、オーディオ、接続済みの周辺機器などの設定情報などが露出するという。

RDPファイルとは何か

　RDPファイルはリモートデスクトップ接続を簡単に実行するため設定ファイルだ。接続先のPCに関する情報や、接続時に必要な設定が保存されている。接続先のIPアドレスやホスト名、ユーザー名、接続時のオプション（画面サイズ、色情報など）が含まれている。一度RDPファイルを設定すればRDPファイルをダブルクリックするだけで、その設定に基づいて自動的にリモートデスクトップ接続ができ、接続プロセスが迅速かつ効率的になる。

　RDPファイルを使用することで異なる接続先の設定を複数保存し、必要に応じて使い分けられる。異なるプロジェクトやクライアントに対する接続を効率的に管理できる。

　多くの企業ではテレワークやサポート業務のためにRDPファイルを利用している。従業員やITサポートスタッフの負担が減るためだ（キーマンズネット編集部）。

　CISAは企業や組織に対して2段階の対策を講じるよう警告した。まず外部へのRDP接続を制限し、メールクライアントやWebメールサーバを通じてRDPファイルが送信されるのを禁止する。ユーザーによるRDPファイルの実行もブロックする。次に組織は多要素認証を有効にして、FIDOトークンのようなフィッシングに強い認証サービスを導入すべきだという。

　Microsoftの研究者によると、このキャンペーンの目的は情報収集のようだ。この脅威グループは過去に「Nobelium」という名称で知られており、2020年のSunburst攻撃にも関連していた。

出典：CISA warns of foreign threat group launching spearphishing campaign using malicious RDP files（Cybersecurity Dive）
注1：CISA assessing threat to federal agencies from Microsoft adversary Midnight Blizzard
注2：Foreign Threat Actor Conducting Large-Scale Spear-Phishing Campaign with RDP Attachments（CISA）
注3：Midnight Blizzard conducts large-scale spear-phishing campaign using RDP files（Microsoft）
注4：Amazon identified internet domains abused by APT29（AWS）（Cybersecurity Dive）