偽のOffice 365通知を使用して、受信者にブロックされたスパムメッセージを確認するように求め、最終的にはMicrosoftの認証情報を盗むことを目的としたフィッシング攻撃が展開されていることがわかりました。
マイクロソフトユーザが、「Security and Compliance Center」によってメッセージが隔離されたことを知らせる不正な「スパム通知」メールの標的となっています。これはサイバー犯罪者が無防備な被害者をおびき寄せ、Microsoft Office 365の機密情報を盗み出そうとするものです。この攻撃の特徴は、マイクロソフト社のメールセキュリティ対策を模倣している点で、ユーザーを混乱させる可能性があります。
これらのフィッシングメールにおいて特に説得力を強いのは、ターゲットへの送信にquarantine[at]messaging.microsoft.comが使用されていることと、表示名が受信者のドメインと一致していることです。
さらに、攻撃者はOffice 365の公式ロゴを埋め込み、メールの最後にマイクロソフトのプライバシーステートメントと利用規定へのリンクを記載しています。
幸いなことに、このフィッシングメッセージにはテキストフォーマットの問題や不適切なスペースが含まれており、これらのメールが悪質であることが見極めることができます。
スパムメッセージがブロックされ、受信者が確認できるように隔離されていることを知らせる本文が書かれています。
ターゲットは、埋め込まれたリンクをクリックしてMicrosoftのSecurity and Compliance Centerにアクセスすることで、隔離されたメッセージを確認すると、「レビュー」ボタンをクリックしてもOffice 365ポータルには到達せず、隔離されたスパムメッセージにアクセスするためにMicrosoftの認証情報を入力するよう求めるフィッシングランディングページに送られてしまいます。
フィッシングページに表示された不正なフォームに認証情報を入力すると、アカウントの詳細が攻撃者の管理するサーバーに送信されます。
被害者のMicrosoft認証情報は、後にサイバー犯罪者がアカウントを乗っ取り、すべての情報にアクセスするために使用されます。
Microsoftアカウントの詳細をサイバー犯罪者に提供することは、連絡先、カレンダー、電子メールのやり取りなどの機密データに不正にアクセスできることを意味します
フィッシング攻撃のターゲット
Office 365のユーザーは、認証情報を取得して詐欺行為に利用しようとするフィッシング攻撃の標的にされ続けています。
マイクロソフトは8月、高度に洗練されたスピアフィッシング攻撃が2020年7月から何度もOffice 365のユーザを標的にしていることを明らかにしました。
また、2020年12月以降にOWAおよびOffice 365の認証情報を約40万件盗んだ後に、正規アカウントを悪用してセキュアメールゲートウェイ(SEG)の保護を回避するように展開されたフィッシング活動について警告しました。
さらに2021年1月下旬、レドモンド社はリモートワーカーを標的としたOAuthフィッシング(同意型フィッシング)攻撃が増加していることをMicrosoft Defender ATPの加入者に通知しました。
フィッシング攻撃が成功した場合、その影響は個人情報の窃盗やBEC(Business Email Compromise)攻撃を含む詐欺行為にまで及びます。
例えば、昨年からFBIは、2020年3月と4月に発行したPrivate Industry Notificationsで、Microsoft Office 365やGoogle G Suiteなどの人気の高いクラウドメールサービスを悪用したBECメール攻撃について警告しています。
また、米国連邦取引委員会(FTC)は、昨年の個人情報保護報告数が2019年に比べて倍増し、1年間で140万件という過去最高の報告数に達したことを明らかにしました。
Comments