はじめに
世界中で54億人以上のソーシャルメディアユーザーを抱えるFacebookは、あらゆる規模の企業にとって重要なマーケティングチャネルであり続けています。しかし、この広範なリーチと信頼されたブランドステータスは、プラットフォームへのユーザーの信頼を悪用しようとする高度な脅威アクターにとって、ますます魅力的な標的となっています。Check Pointのセキュリティ研究者は最近、Facebook自身のビジネススイートインフラを悪用し、説得力のある不正な通知を配信する大規模なフィッシングキャンペーンを発見しました。
キャンペーンの概要
このキャンペーンでは、米国、ヨーロッパ、カナダ、オーストラリアの5,000以上の顧客に対し、40,000通以上のフィッシングメールが配布されました。主な標的は、自動車、教育、不動産、ホスピタリティ、金融など、Facebook広告に大きく依存する業界でした。テレメトリーデータによると、ほとんどの組織が300通未満のメールを受け取った一方で、ある企業は4,200通以上のメールに晒されており、これは標的型スピアフィッシングではなく、テンプレート駆動型の大規模キャンペーンであることを示唆しています。標的となったのは主に中小企業であり、これらの企業は正規のMetaビジネス通知を頻繁に受け取るため、メッセージを信頼しやすい傾向がありました。
攻撃の手口
このキャンペーンは、欺瞞的でありながら非常に効果的なメカニズムを通じて行われます。脅威アクターは、本物そっくりのMetaロゴと名前でブランド化された偽のFacebookビジネスページを作成します。次に、プラットフォームのビジネス招待機能を悪用してフィッシングメールを配布します。これらのメールは、正規のMetaドメインであるfacebookmail.comから発信されたかのように見えます。この重要な要素により、多くのメールセキュリティシステムが依存するドメイン評判チェックを回避できるため、従来のフィッシング試行よりもはるかに説得力があります。
悪意のあるメールは、「要対応:無料広告クレジットプログラムへの招待」や「アカウント認証が必要です」といった緊急性を煽る件名で、本物のFacebook通知を模倣しています。各メッセージには、ログイン情報や機密性の高いビジネス情報を収集するために設計された、vercel.appなどのドメインでホストされているフィッシングウェブサイトに被害者をリダイレクトする巧妙に作成されたリンクが含まれています。Check Pointの研究者は、管理された実験を実施することでこの攻撃手法を検証しました。彼らはFacebookスタイルのロゴを持つ偽のビジネスページを作成し、ページ名に悪意のあるコンテンツを埋め込み、プラットフォームの正規の招待メカニズムを使用してテストメッセージを配布し、ビジネススイート機能がいかに容易に悪用されうるかを実証しました。
広範なセキュリティへの影響と対策
このキャンペーンは、フィッシング戦術における憂慮すべき進化を浮き彫りにしています。攻撃者は、ドメインスプーフィングのみに依存するのではなく、広く信頼されているプラットフォームの組み込み機能を悪用して、即座に信頼性を獲得し、従来のセキュリティ制御を回避しています。組織は、以下の主要なステップを通じてリスクを軽減できます。
- 信頼できる情報源からの異常な要求であっても疑問を持つことを強調する、包括的なユーザーセキュリティ意識向上トレーニングを実施する。
- 行動分析とAI駆動型検出を備えた高度なメールセキュリティソリューションを導入する。
- 資格情報が侵害された場合でも不正アクセスを防ぐために、多要素認証を強制する。
本物の送信者ドメインの使用は、ドメインの評判を主要な検証メカニズムとして優先する従来のメールセキュリティシステムにとって根本的な課題となります。ユーザーは、送信者の信頼性を確認し、ドメインの不一致をチェックし、メールリンクを介するのではなく、公式チャネルを通じて直接Metaビジネスアカウントにアクセスする必要があります。Check Pointは、信頼されたドメインを悪用するMetaをテーマにしたフィッシング試行を検出およびブロックするために、SmartPhishソリューションをアップグレードし、継続的な監視とAI駆動型分析を組み込んで、このような脅威の早期検出を可能にしています。