概要
新しいフィッシングキャンペーンが、MetaMaskユーザー向けに巧妙に作成されたメールで展開され始めています。この攻撃は、受信者に偽の二要素認証(2FA)設定を有効にするよう誘導し、その結果としてウォレット資格情報を盗むことを目的としています。
フィッシングメールの仕組み
このキャンペーンでは、受信者に「異常なログイン活動」があったと偽装したメールが送信されます。その中には、Amazon S3バケットからホストされた疑わしいリンクも含まれており、これがカウンターフェイクのMetaMaskログインページへとリダイレクトします。
さらに、非悪意のあるPDFファイル「Security_Reports.pdf」が添付されており、これは本物の異常事象通知を模倣しています。このPDFは心理的な操作を行い、ユーザーにアカウントが侵害されたと思い込ませ、すぐに行動するよう促します。
攻撃者の手法
攻撃者はAmazonやReportLabなどの正当なプラットフォームを悪用し、フィッシングの罠を隠蔽しています。この戦略は、ドメインレピュテーションやファイルシグネチャーに頼る検出システムを難しくします。
対策
- 送信者の認証確認:セキュリティ通知に対して行動する前に、URLと送信者ドメインの正当性を必ず確認してください。
- 添付ファイルの安全な検査:PDFや添付ファイルをレビューする際は、サンドボックス環境またはオンラインスキャナーを使用して行うことが推奨されます。
- ユーザー教育:継続的な意識向上トレーニングは、フィッシングキャンペーンによる資格情報盗難を防ぐ鍵となります。
- フィッシングホストの報告:AWSや影響を受けたプロバイダーに通知し、悪意のあるS3バケットを速やかに取り除くように依頼してください。
結論
このキャンペーンは、単純なソーシャルエンジニアリングと正当なインフラストラクチャの組み合わせがユーザーの防御を突破する可能性があることを示しています。特に緊急性や恐怖心を引き出す「セキュリティ通知」に対しては、今後も注意が必要です。