サイバーニュース.jp

世界のサイバーなニュースを配信

Microsoft、エネルギー企業を標的とした多段階AitMフィッシングおよびBEC攻撃に警鐘

カテゴリ:

概要:エネルギー業界を狙う複合型サイバー攻撃

Microsoftは、エネルギー分野の複数の組織を標的とした多段階にわたるアドバーサリー・イン・ザ・ミドル(AitM)フィッシングおよびビジネスメール詐欺(BEC)キャンペーンについて警告を発しました。このキャンペーンでは、SharePointのファイル共有サービスが悪用され、フィッシングペイロードが配信されました。また、持続性を維持し、ユーザーの認識を回避するために、受信トレイのルール作成が悪用されたとMicrosoft Defenderセキュリティ研究チームは述べています。

この攻撃は、初期侵害後にAitM攻撃とそれに続く複数の組織にまたがるBEC活動へと発展しました。攻撃者は、侵害された被害者の信頼できる内部IDを利用して、組織内および外部への大規模なフィッシングを展開し、キャンペーンの範囲を広げようとしました。

攻撃の詳細:SharePointと受信トレイの悪用

攻撃の出発点は、以前に侵害された信頼できる組織のメールアドレスから送信された可能性のあるフィッシングメールです。攻撃者はこの正当なチャネルを悪用し、SharePointのドキュメント共有ワークフローを装ったメッセージを送信して、信頼性を高め、受信者をフィッシングURLのクリックに誘い込みました。

SharePointやOneDriveのようなサービスは企業環境で広く使用されており、メールが正規のアドレスから発信されるため、疑念を抱かせにくいという特徴があります。この手法は「living-off-trusted-sites(LOTS)」とも呼ばれ、既知のプラットフォームの信頼性を悪用して、メール中心の検出メカニズムを回避します。URLをクリックすると、ユーザーは偽の資格情報入力画面にリダイレクトされ、不正な文書を閲覧させようとします。

盗んだ資格情報とセッションクッキーを使ってアカウントへのアクセス権を得た後、攻撃者は受信トレイのルールを作成し、すべての受信メールを削除したり、既読にしたりします。この基盤が整うと、侵害された受信トレイから、AitM攻撃による資格情報窃盗を目的とした偽のURLを含むフィッシングメッセージが送信されます。Microsoftによると、あるケースでは、攻撃者が600通を超えるメールを侵害されたユーザーの連絡先(組織内外問わず)に送信する大規模なフィッシングキャンペーンを開始しました。

さらに、攻撃者は未配信や不在通知のメールを削除したり、受信者が懸念を表明した場合にはメールの信憑性を保証したりするなどの措置を講じていることも確認されています。これらのやり取りは、その後メールボックスから削除されます。Microsoftは「これらの手法はBEC攻撃で一般的であり、被害者に攻撃者の活動を気づかせず、持続性を助けることを意図している」と指摘しています。

Microsoftの推奨事項と防御策

Microsoftは、AitMの「運用上の複雑さ」を強調し、パスワードのリセットだけでは脅威を修復できないと述べています。影響を受けた組織は、アクティブなセッションクッキーを失効させ、攻撃者によって作成された検出回避のための受信トレイルールを削除する必要があります。同社は、顧客と協力して、侵害されたユーザーアカウントに対して攻撃者が行った多要素認証(MFA)の変更を元に戻し、これらのアカウントに作成された不審なルールを削除しました。

組織は、以下のセキュリティ対策を講じるよう推奨されています。

  • フィッシング耐性のあるMFAの導入
  • 条件付きアクセスポリシーの有効化
  • 継続的なアクセス評価の実装
  • 受信メールと訪問ウェブサイトを監視・スキャンするアンチフィッシングソリューションの利用

新たな脅威と巧妙化する手口

Microsoftが指摘する攻撃は、Google Drive、Amazon Web Services(AWS)、AtlassianのConfluence wikiなどの信頼されたサービスを悪用し、資格情報収集サイトやマルウェアにリダイレクトするという、脅威アクター間の継続的な傾向を浮き彫りにしています。これにより、攻撃者は独自のインフラストラクチャを構築する必要がなくなり、悪意のある活動が正当に見えるようになります。

また、IDサービスプロバイダーのOktaは、Google、Microsoft、Okta、および幅広い暗号通貨プラットフォームを標的としたボイスフィッシング(vishing)キャンペーン専用に設計されたカスタムフィッシングキットを検出したと発表しました。これらのキャンペーンでは、攻撃者が技術サポート担当者を装い、なりすましたサポートホットラインや企業の電話番号を使って標的のユーザーに電話をかけます。攻撃は、ユーザーを悪意のあるURLに誘導し、資格情報を引き渡させることを目的としており、その後、それらの資格情報はTelegramチャネルを通じて脅威アクターにリアルタイムで中継され、不正なアカウントアクセスを許してしまいます。

ソーシャルエンジニアリングの取り組みは綿密に計画されており、攻撃者は標的について偵察を行い、カスタマイズされたフィッシングページを作成します。これらのキットはサービスとして販売されており、クライアントサイドスクリプトが組み込まれているため、脅威アクターは、標的のユーザーが認証プロンプトを操作する際に、ブラウザでの認証フローをリアルタイムで制御できます。これにより、口頭での指示と説得を通じて、プッシュ通知の承認やワンタイムパスワードの入力など、MFAをバイパスする行動を促します。

「これらのキットを使用することで、標的のユーザーと電話で話している攻撃者は、そのユーザーが資格情報フィッシングページとやり取りする際の認証フローを制御できます」とOkta Threat Intelligenceの脅威研究者Moussa Diallo氏は述べています。「彼らは、電話での指示と完全に同期して、標的がブラウザで見るページを制御できます。脅威アクターは、この同期を利用して、フィッシング耐性のないあらゆる形式のMFAを突破できます。」

最近では、Basic認証URL(例: username:password@.gradle/wrapper/dists/...)が悪用されるケースも報告されています。これは、信頼できるドメインをユーザー名フィールドに配置し、その後に@記号と実際の悪意のあるドメインを続けることで、視覚的に被害者を誤解させるものです。Netcraftによると、「ユーザーが馴染みのある信頼できるドメインで始まるURLを見た場合、リンクが正当で安全だと仮定する可能性があります。しかし、ブラウザは@記号より前のすべてを認証情報として解釈し、宛先の一部とはみなしません。実際のドメイン、つまりブラウザが接続するドメインは@記号の後に含まれています。」

さらに、他のキャンペーンでは、「m」の代わりに「rn」を使用する視覚的なごまかし(ホモグリフ攻撃)も用いられています。例えば、Microsoft(rnicrosoft[.]com)、Mastercard(rnastercard[.]de)、Marriott(rnarriotthotels[.]com)、Mitsubishi(rnitsubishielectric[.]com)といった企業の正当なドメインと誤認させることを狙っています。NetcraftのIvan Khamenka氏は、「攻撃者はこの手法で『M』で始まるブランドを標的にすることが多いが、最も説得力のあるドメインは、単語内の『m』を『rn』に置き換えることで作られる」と述べています。「この手法は、組織がブランド、サブドメイン、またはサービス識別子の一部として一般的に使用する単語(メール、メッセージ、メンバー、確認、コミュニケーションなど)に含まれる単語の途中の『m』に現れる場合、さらに危険になります。」

元記事: https://thehackernews.com/2026/01/microsoft-flags-multi-stage-aitm.html

投稿をさらに読み込む