米マイクロソフトが7月中旬に大規模なフィッシング攻撃が展開されていることに対して注意を呼びかけました。呼びかけの対象はMicrosoft365を利用する企業や組織です。すでに、2021年9月以降の1年弱の間に1万を超える企業や組織に対して攻撃が行われていることが確認されています。
流れ
今回のフィッシング詐欺の特徴は多要素認証を破る手口が使われていることです。手口の流れは以下のとおりです。
- 攻撃者が偽のメールを正規のユーザーに送り、偽のサイトに誘導する
- 偽のサイトは本物のMicrosoft365のログインサイトと同じように作られている
- 正規のユーザーが偽のサイト(フィッシングサイト)でパスワードを入力すると、偽サイトから本物のMicrosoft365にログインを試みる
- パスワードが正しい場合は、本物のサイトは利用者に対して別の認証情報を要求する
- フィッシングサイトはその要求を正規のユーザーに中継する
- 正規のユーザーはワンタイムパスワード等をフィッシングサイトに入力する
- フィッシングサイトはその情報を本物のサイトに返答しログインする
流れだけ見ると複雑に見えますが、正規の利用者から見ると、いつもMicrosoft365にログインしているときと何も変わりません。違うのはフィッシングサイトのURLぐらいかもしれません。ここで気が付かないと犯罪に巻き込まれてしまいます。
最終的な狙い
今回のフィッシング詐欺の西遊目的はビジネスメール詐欺だと日経などでは報道されています。取引相手に成りすまして、偽の請求書を送るなどして、金銭を偽の口座に振り込ませます。
Microsoft365のようなグローバルでメジャーなサービスは、偽の仕組みを作りこむために手間暇をかけたとしても、対象者が多いので、狙われやすいところがあるのかと思います。
今後の対策
なかなか偽のサイトをURLを手掛かりに100%見抜くことも難しいので、特定のIPアドレスからしかログインできなくしないようにする等、他の対策も組み合わせていかなければいけません。
ワンタイムパスワードなどの多要素認証で安全性が増したはずだと信じていましたが、その多要素認証ですら破られる状況になってきました。とは言ってもワンタイムパスワードは安全性を高めるための一つの手段であることに違いはないので、これからも続けた方が良いです。今後はFIDO2と他の認証方法の組み合わせなど、対策の高度化が必要になります。
コメント