概要:高度なフィッシング自動化プラットフォームの台頭
「Quantum Route Redirect(QRR)」と名付けられた新たなフィッシング自動化プラットフォームが、約1,000のドメインを悪用し、Microsoft 365ユーザーの認証情報を窃取しています。このキットは、あらかじめフィッシングドメインが設定されており、スキルが低い脅威アクターでも最小限の労力で最大限の成果を上げられるように設計されています。
セキュリティ意識向上トレーニングを提供するKnowBe4のアナリストは、8月以降、世界中でQRR攻撃を確認しており、その約4分の3が米国に集中しています。KnowBe4は、QRRを「高度な自動化プラットフォーム」と評価しており、トラフィックの悪意あるドメインへのリダイレクトから被害者の追跡まで、フィッシング攻撃の全段階をカバーできると指摘しています。
攻撃の手口:巧妙な誘導とドメイン悪用
攻撃は、DocuSignの要求、支払い通知、不在着信、またはQRコードを装った悪意のあるメールから始まります。これらのメールは、特定のパターンに従うURLでホストされている認証情報窃取ページにターゲットを誘導します。
KnowBe4は、「研究者たちは、ドメインURLが常に/([\w\d-]+.){2}[\w]{,3}/quantum.php/というパターンに従い、通常はパーク済みドメインまたは侵害されたドメインでホストされていることを確認しました」と説明しています。正規のドメインでホストするという選択は、これらの攻撃の人間ターゲットをソーシャルエンジニアリングするのに役立つ可能性があります。KnowBe4は、QRRフィッシングページをホストしている約1,000のドメインを特定したと述べています。
回避技術:ボットと人間の選別
研究者によると、QRRにはボットと人間の訪問者を区別する組み込みのフィルタリングメカニズムが備わっています。QRRは、潜在的な被害者をフィッシングページにリダイレクトする一方で、メールセキュリティツールなどの自動システムは無害なサイトに誘導されます。
被害状況と統計
QRRの中央トラフィックルーティングシステムがリダイレクトタスクを自動的に実行するため、オペレーターはダッシュボードで関連統計をリアルタイムで確認できます。そこでは、人間と非人間の訪問者の数が記録されています。KnowBe4は、QRRフィッシングキットが90カ国のMicrosoft 365アカウントを標的にしていることを確認しており、攻撃の76%が米国のユーザーに向けられています。
今後の見通しと対策
研究者たちは、URLスキャン技術を回避するために使用される手法により、Quantum Route Redirectの使用が増加すると予想しています。今年初めに注目を集めた同様のサービスには、VoidProxy、Darcula、Morphing Meerkat、Tycoon2FAなどがあります。
しかし、この脅威から保護するための防御策は存在します。KnowBe4のアナリストは、フィッシングの試みを検出できる堅牢なURLフィルタリングの実装と、ユーザーの認証情報が盗まれた場合にアカウントの侵害の兆候を監視できるツールの導入を推奨しています。
- 堅牢なURLフィルタリングの導入:フィッシングサイトへのアクセスを未然に防ぐ。
- アカウント監視ツールの活用:認証情報が漏洩した場合の早期検知と対応。