巧妙化するフィッシング詐欺:武器化されたPDFの脅威
最近、企業認証情報を盗み出すことを目的とした、洗練されたフィッシングキャンペーンが確認されました。この攻撃では、「NEW Purchase Order # 52177236.pdf」という名称の、武器化されたPDFドキュメントが悪用されています。正規のクラウドインフラと暗号化されたメッセージングアプリを組み合わせることで、従来のセキュリティ対策を回避しようと試みています。
セキュリティ研究者が顧客から報告されたブロックリンクを分析した結果、この脅威が明らかになりました。攻撃者は、標準的なメールセキュリティフィルターを迂回するために、複雑な難読化手法を用いています。
攻撃の手口:信頼を悪用した誘導
この攻撃は、ビジネス文書を装った欺瞞的なメールに添付されたPDFファイルから始まります。ファイルを開くと、ユーザーには「注文書を表示」というボタンが表示されます。ボタンにカーソルを合わせると、ionoscloud.comのサブドメインを指す長いURLが表示されますが、一見するとプロフェッショナルな見た目をしています。
不注意なユーザーがこのリンクをクリックすると、偽のログインフォームが表示される不正なウェブページにリダイレクトされます。攻撃者はコンバージョン率を高めるため、ターゲットのメールアドレスを事前にフォームに自動入力します。フォームは明示的に「ビジネスメール」を要求し、Microsoft Outlook、Google Workspace、VPN、給与システムなど、価値の高い企業サービスの認証情報を狙っていることが示唆されます。
IONOS Cloud悪用の巧妙な回避戦略
このキャンペーンの回避戦略の重要な要素は、フィッシングランディングページがIONOS Cloudにホストされている点です。IONOSは、Amazon AWSやMicrosoft Azureに匹敵する、ヨーロッパの主要なホスティングプロバイダーです。
正規のインフラに悪意のあるスクリプトをホストすることで、脅威アクターは「ハロー効果」から恩恵を受けます。セキュリティベンダーは、正規のビジネスを妨害することなくionoscloud.comドメイン全体をブロックすることはできません。これにより、攻撃者はフィッシングサイトを迅速に立ち上げ、変更し、ローテーションさせることが可能になっています。
技術分析:Telegram経由のリアルタイムデータ窃取
攻撃チェーンの綿密な分析により、113,000行を超える高度に難読化されたJavaScriptファイルが発見されました。研究者がスクリプトを逆難読化することで、単純な認証情報収集を超える悪意のあるメカニズムが露見しました。
このスクリプトは、ipapiサービスを利用して広範なフィンガープリントデータを収集します。これには、ブラウザとオペレーティングシステムの詳細、システム言語と画面解像度、ユーザーの位置情報、Cookieなどが含まれます。
特筆すべきは、データ窃取方法が従来のC2(コマンド&コントロール)サーバーを迂回している点です。盗まれたデータは、代わりにTelegramボットに直接POSTされます。
スクリプトにはハードコードされたTelegramチャットID(5485275217)が含まれており、認証情報とフィンガープリントデータが攻撃者のプライベートチャットに即座に転送されるようになっています。このリアルタイムの伝送により、サイバー犯罪者は盗んだ認証情報を企業ネットワークに対してほぼ瞬時にテストできます。
組織を守るための対策
セキュリティ専門家は、ビジネスワークフローにおけるPDFファイルの信頼性が高いため、PDFを悪用したフィッシングが増加していると警告しています。これらの攻撃から身を守るために、組織には以下の対策が推奨されます。
- 添付ファイルの検証:未承諾のPDFはすべて注意して扱い、セカンダリチャネルを介して送信者を検証してください。
- リンクの検査:PDF内のリンクにカーソルを合わせることは不可欠ですが、正規のクラウドサブドメインが使用されている場合、視覚的な検査は困難になる可能性があります。
- パスワードマネージャーの利用:パスワードマネージャーは、ドメインが一致しないサイトでは認証情報を自動入力しないため、見た目が似たフィッシングサイトに対する効果的なフェイルセーフとして機能します。
- エンドポイント保護の導入:親ドメインが正規である場合でも、既知の悪意のあるサブドメインへの接続をブロックするには、リアルタイムのウェブ保護ツールが必要です。