Native Phishing

攻撃者に必要なのは悪用ではなく、信頼なのだ。

攻撃手法の変化は、世代の変化を反映している。手軽さと効率性を優先する世代として知られるZ世代は、現在、サイバーセキュリティの世界に両側から入り込んでいる。ある者はデータを守り、またある者はデータを盗む。

攻撃者のフィッシング・ツールキットにAIやノーコード・プラットフォームが台頭する中、信頼を構築しユーザーを欺くことはかつてないほど容易になっている。脅威の主体は、デフォルトで信頼されているツールと無料の合法的なサービスを混ぜ合わせ、従来のセキュリティ防御や人間の疑念を迂回しようとしている。

攻撃者は依然として悪意のある電子メールの添付ファイルを送信しています。しかし、その手口はさらに拡大しており、信頼できる組み込みのコラボレーション機能を使用して、悪意のあるファイルやリンクを組織全体で共有します。

ネイティブフィッシングは、被害者にとって完全に合法と感じられる方法で悪意のあるコンテンツを配信します。例えば、このケースでは、ファイルはM365のファイル共有システム経由で送信され、添付ファイルのようにスキャンされることはなく、ネイティブに感じられ、ユーザーをフィッシングする方法としては一般的ではありません。

たった一人の感染した内部ユーザーが必要なだけで、突然、組織全体が危険にさらされるのだ。このブログでは、攻撃者がどのように1人のユーザーを危険にさらし、ネイティブフィッシングのためにM365とAI/ノーコードツールを使用したかを示す最近の実際のインシデントについて説明します。

OneNOT:攻撃者がOneNoteを活用する方法

Microsoft 365スイートの一部であるMicrosoft OneNoteは、防御者が見落としがちなメモ作成アプリケーションです。

WordやExcelとは異なり、OneNoteはVBAマクロをサポートしていません。しかし、Varonis Threat Labsは、いくつかの重要な要因により、OneNoteがフィッシング攻撃に使用されつつあることを確認しています:

  • 保護されたビューの対象ではない
  • 柔軟な書式設定により、攻撃者は偽のレイアウトを作成することができる。
  • 悪意のあるファイルやリンクを埋め込むことができる

OneNoteはほとんどの組織においてデフォルトで信頼されているアプリケーションでもあるため、攻撃者はOneNoteを配信メカニズムとして使用することが増えており、マクロコードからソーシャルエンジニアリング技術に移行することで、セキュリティ障壁を回避できるようになっています。

a.fl_button { background-color:#border:1px solid #3b59aa; color:#text-align: center; text-decoration: none; border-radius: 8px; display: inline-block; font-size: 16px; font-weight: bold; margin:4px 2px; cursor: pointer; padding:12px 28px; } .fl_ad { background-color:#width: 95%; margin: 15px auto 15px auto; border-radius: 8px; border:1px solid #d6ddee; box-shadow: 2px 2px #728cb8; min-height: 200px; display: flex; align-items: center; } .fl_lef>a>img { margin-top: 0px !important; } .fl_rig>p { font-size: 16px; } .grad-text { background-image: linear-gradient(45deg, var(–dawn-red), var(–iris)54%, var(–aqua)); -webkit-text-fill-color: transparent; -webkit-background-clip: text; background-clip: text; } .fl_rig h2 { font-size: 18px!important; font-weight: 700; color:color: #333; line-height: 24px; font-family:font-family: Georgia, times new roman, Times, serif; display: block; text-align: left; margin-top: 0; } .fl_lef { display: inline-block; min-height: 150px; width: 25%; padding:10px 0 10px 10px; } .fl_rig { padding:10px; display: inline-block; min-height: 150px; width: 100%; vertical-align: top; } .fl_lef>a>img { border-radius: 8px; } .cz-news-title-right-area ul { padding-left: 0px; } @media screen and (max-width: 1200px) { .fl_ad { min-height: 184px; } .fl_rig>p { margin: 10p10px; } .fl_rig { padding:0 10px 10px 10px; width: 100%; } } @media screen and (max-width: 400px) { .cz-story-navigation ul li:first-child { padding-left: 6px; } .cz-story-navigation ul li:last-child { padding-right: 6px; } } }.

Varonis 2025年データセキュリティの現状レポートをダウンロードする

私たちのチームは、1,000の実際のIT環境のデータを分析し、どの組織も情報漏えいがないことを発見しました。

実際、99%の組織が、AIによって簡単に表面化できる機密データを露出しています。

レポートを読む

One User、OneNote、OneDrive、そして多くの犠牲者

Attack flow

最近のインシデントでは、攻撃者が単純だが非常に効果的な方法を使用していることが確認されている。脅威者はフィッシング攻撃によって組織内のあるユーザーのM365認証情報を得た後、OneDrive上の侵害されたユーザーの個人ドキュメントフォルダにOneNoteファイルを作成し、次のフィッシングステージ用のルアーURLを埋め込みます。

Phishy file read and file uploaded notifications.
フィッシングファイルの読み取りとファイルのアップロードの通知。
OneNote file in the compromised user's personal Documents folder on OneDrive.
OneDriveの個人ドキュメントフォルダ内のOneNoteファイル

多くのフィッシングの試みにおいて、攻撃者は外部のメールアドレスを使用してMicrosoftの「誰かがあなたとファイルを共有しました」という通知になりすまします。このようなフィッシングメールは、訓練されたユーザーであれば簡単に見破ることができる場合が多く、巧妙に作成されたバージョンであっても、ヘッダー分析や送信者確認によって、メールセキュリティシステムがフラグを立てることができます。

今回のケースでは、脅威者はよりシンプルで効果的な方法を取った。なりすましの代わりに、侵入したユーザーアカウントからOneDriveの組み込みファイル共有機能を利用したのだ。

その結果、組織全体の何百人ものユーザーが、信頼できる同僚から直接送られてきたと思われる、正当なマイクロソフトの電子メール通知を受け取った。この電子メールには、組織のOneDrive環境でホストされているファイルへの安全なリンクが含まれていたため、非常に説得力があり、セキュリティ警告が発せられる可能性は低かった。実際、これはフィッシングを横展開するための攻撃者の手口でした。

A phony “Someone shared a file with you” notification.
誰かがあなたとファイルを共有しました」という偽の通知。

Varonisでは、侵害されたユーザーからの「Folder shared link created」イベントの急増を観察し、過去90日間のアクティビティと比較しました。

Unusual 'Folder shared link created' events.
フォルダの共有リンクが作成されました。

Data sources

私たちがこれまで見てきた多くのフィッシング・キャンペーンとは異なり、このキャンペーンは成功率が異常に高いものでした。多くのユーザーがリンクをクリックし、進んで認証情報を入力しました。クリックした後、被害者は会社の本物の認証ポータルとほぼ同じように見える偽のログインページにリダイレクトされた。

このフィッシング・サイトはFlazioと呼ばれるプラットフォームを使って構築された。このため、攻撃者は信じられないほど簡単に、説得力のあるログインページの複製をあっという間に作り上げることができた。

以下に、正規のログイン・ページとフィッシング・ページを並べて比較してみた。驚くほどよく似ている。

The real company authentication portal.
本物の企業認証ポータル
The phishing site mimicking the original portal
オリジナルのポータルを模倣したフィッシングサイト

最近、フィッシング・キャンペーンの傾向が強まっており、攻撃者はコード不要のプラットフォームの無料トライアルを利用して、カスタマイズされたフィッシング・ページを素早く構築しています。Flazioで作成された偽のログインページのように、ClickFunnelsや JotFormのようなプラットフォームを活用する脅威者も確認されています。

いくつかのケースでは、「クリックするとドキュメントが表示されます」というAdobeスタイルの偽ページをホストし、ユーザーを認証情報を盗むためのフィッシング・ログイン画面にリダイレクトしていました。これらのプラットフォームは、攻撃者が最小限の労力でフィッシング・ページを作成し、ホストするための簡単で迅速、そしてコストのかからない方法を提供しています。

Phishing page created in Jotform
Jotformで作成されたフィッシングページ
Phishing page created with ClickFunnels
ClickFunnelsで作成されたフィッシング・ページ

私たちから見れば、ノーコードのAIプラットフォームでウェブサイトを構築することはバイブ・コーディングである。彼らにとっては、バイブ詐欺だ。

今日、あなたは何ができるだろうか?

OneNoteでフィッシングを最小限に抑えるために、以下のステップを踏んでください:

  • すべてのユーザーに対してMFAと条件付きアクセスを実施し、認証情報が盗まれた場合のアカウント乗っ取りのリスクを軽減する。
  • 役員を含め、定期的にフィッシングやビッシングのシミュレーションを行い、認識を高め、実際の対応をテストする。
  • 社内の報告経路を明確にし、アクセスしやすくすることで、疑わしい活動を報告しやすくする
  • Microsoft 365の共有設定を見直して厳格化し 、社内ファイルの不必要な公開を制限する。
  • 異常なファイル共有行為に対するアラートを設定 し、既知のコードなしサイトビルダーへのトラフィックを監視する。

フィッシングの手口が進化するにつれ、私たちの防御も進化しなければなりません。攻撃者がどのように信頼を利用し、最新のツールを活用しているかを理解することで、組織はより良い準備、検知、対応を行うことができる。結局のところ、システムの安全性だけでなく、人の安全性も重要なのです。

バロニスによる支援

Varonisは、電子メールや閲覧のアクティビティ、ユーザーやデータのアクティビティをリアルタイムで監視し、サイバーフォレンジック調査のための包括的なツールを提供します。これにより、組織を標的としたフィッシングキャンペーンの影響と潜在的なリスクを迅速に判断することができます。

ヴァロニスのMDDRチームは、24時間365日体制でデータセキュリティの専門知識とインシデントレスポンスを提供し、事実上あらゆるセキュリティ上の懸念に対する継続的なサポートを保証します。

実際のVaronisをご覧になりたいですか?今すぐデモをご予約ください。

この記事は元々Varonisブログに掲載されたものです。

スポンサーおよび執筆はVaronisです。