MailData

保険会社を狙ったOffice 365を使用したフィッシング詐欺の手口

保険会社を狙ったOffice 365を使用したフィッシング詐欺の手口

なりすましの手口と対策

2023年2月20日
著者: Ahona Rudra
翻訳: 高峯 涼夏

この記事はPowerDMARCのブログ記事 How Phishing Scams Are Using Office 365 to Target Insurance Firms の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。

メールは、悪用が非常に簡単なため、サイバー犯罪者が攻撃を開始する際に最初に選択することがよくあります。
大量の処理能力を必要とするブルートフォース攻撃や、高度な技術を求められる巧妙な手法とは異なり、ドメインなりすましは、他人のふりをしてメールを書くのと同じくらい簡単に行うことができます。
多くの場合、その「他人」とは、人々が仕事をする上で頼りにしている主要なソフトウェアサービスプラットフォームです。

2020年4月15日から30日にかけて、PowerDMARCのセキュリティアナリストが、中東の大手保険会社を標的としたフィッシングメールの新たな波を発見したとき、それは起こりました。
この攻撃は、Covid-19危機の間に直近で増加したフィッシングやなりすましの事例の中の一つに過ぎません。
これより以前の2020年2月にも、世界保健機関になりすまし、コロナウイルス救済のための寄付を求めるメールを数千人に送信する別の大規模なフィッシング詐欺が発生しています。

なりすまし犯

最近の一連のインシデントでは、MicrosoftのOffice 365サービスのユーザが、ユーザアカウントのステータスに関する定期的な更新メールと思われるものを受け取りました。
これらのメールは、組織の独自ドメインから送信され、ユーザにパスワードのリセットや保留中の通知を表示するためのリンクをクリックするよう要求していました。
使用されていることが確認されたメールタイトルをいくつかまとめてみました。

*プライバシー保護のため、アカウントの詳細は変更しています。

保険会社に送られたなりすましメールで使用されているメールヘッダのサンプルもご覧いただけます。


Received: from [malicious_ip] (helo= malicious_domain)

・id 1jK7RC-000uju-6x

・for user@domain.com; Thu, 02 Apr 2020 23:31:46 +0200

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed;

Received: from [xxxx] (port=58502 helo=xxxxx)


by malicious_domain with esmtpsa (TLSv1.2:ECDHE-RSA-AES2  56-GCM-SHA384:256)

From: “Microsoft account team”

To: user@domain.com

Subject: Microsoft Office Notification for user@domain.com on 4/1/2020 23:46

Date: 2 Apr 2020 22:31:45 +0100

Message-ID: <20200402223145.B27F4E0E69F15C84@domain.com>

MIME-Version: 1.0

Content-Type: text/html;

charset=”utf-8″

Content-Transfer-Encoding: quoted-printable

X-AntiAbuse: This header was added to track abuse, please include it with any abuse report

X-AntiAbuse: Primary Hostname – malicious_domain

X-AntiAbuse: Original Domain – domain.com

X-AntiAbuse: Originator/Caller UID/GID – [47 12] / [47 12]

X-AntiAbuse: Sender Address Domain – domain.com

X-Get-Message-Sender-Via: malicious_domain: authenticated_id: admin@malicious_domain

X-Authenticated-Sender: malicious_domain: admin@malicious_domain

X-Source:

X-Source-Args:

X-Source-Dir:

Received-SPF: fail ( domain of domain.com does not designate malicious_ip_address  as permitted sender) client-ip= malicious_ip_address  ; envelope-from=user@domain.com; helo=malicious_domain;

X-SPF-Result: domain of domain.com does not designate malicious_ip_address  as permitted sender

X-Sender-Warning: Reverse DNS lookup failed for malicious_ip_address (failed)

X-DKIM-Status: none /  / domain.com /  /  /

X-DKIM-Status: pass /  / malicious_domain / malicious_domain /  / default

PowerDMARCのセキュリティオペレーションセンターが、このメールのリンクを追跡したところ、Microsoft Office 365のユーザを標的としたフィッシングURLであることが判明しました。
このURLは、世界中のさまざまな場所にある危険なサイトにリダイレクトされるものでした。

これらのメールのタイトルを見ただけでは、組織のドメインになりすまして誰かが送信したものだと判断することは不可能でしょう。
私たちは、日常的にOffice 365といったさまざまなオンラインサービスにサインインするよう促す業務やアカウント関連のメールを、ひっきりなしに受け取ります。
ドメインなりすましはこれを利用し、偽の悪質なメールを本物のメールと見分けがつかないようにします。

信頼できるソースからのメールかどうかは、メールを徹底的に分析しない限り、事実上知る術はありません。
また、毎日何十通ものメールが送られてくるため、すべてのメールを注意深く精査している暇はありません。
唯一の解決策は、自身のドメインから送信されたすべてのメールをチェックし、許可なく送信されたものだけをブロックする認証メカニズムを採用することでしょう。

DMARC

その認証の仕組みはDMARCと呼ばれています。
そして、世界有数のメールセキュリティソリューションの主要プロバイダとして、PowerDMARCは、組織のドメインを保護することの重要性を理解してもらうことを使命としています。
あなた自身のためだけでなく、あなたが安全かつ信頼できるメールを毎回受信トレイに届けると信じ、頼りにしているすべての人のために。

なりすましのリスクについては、こちらをご覧ください。
https://powerdmarc.com/stop-email-spoofing/

なりすましからドメインを守り、ブランドを向上させる方法はこちらでご確認ください。
https://maildata.jp/specification/dmarc.html

PowerDMARCの2週間の無料トライアルで、DMARCを設定してなりすましメールの有無を確認しましょう。