ほとんどのサイバー攻撃の核心は、誰かに自分の利益にならないことをさせようとすることです。フィッシングサイトへのログイン、請求書の支払い情報の変更、マルウェアを含むファイルの開封など、詳細は変わっても基本的な目的は同じです。詳細は変わりますが、基本的な目的は同じです。だからこそ、私たちはセキュリティに対して「人」を中心にセキュリティを構築するPeple-Centricアプローチをとるのです。人は攻撃者のターゲットでもありますが、適切なトレーニングと防護策を施すことによって、「人」が最良の防御壁にもなるのです。
このような状況下で忘れられがちなのは、サイバー攻撃者も人間であるということです。そして、他のグループと同様に、中にはかなり奇妙なことをする攻撃者もいます。この記事では、昨年見かけた奇妙な誘い文句やソーシャルエンジニアリングの手口をいくつか紹介します。
本ブログでは、2021年のソーシャルエンジニアリングの手口トップ5を紹介します。
5. サッカー選手へのスカウト
サッカーは世界で最も人気のあるスポーツであり、選手もそのエージェントも、適切なクラブの目に留まれば、何百万ドルも稼ぐことができます。
昨年、プルーフポイントのリサーチャーは、フランス、イタリア、および英国のクラブにマルウェアを送り込むために、サッカーの誘い文句を使ったソーシャルエンジニアリングキャンペーンを複数確認しました。これらの脅威は、アフリカや南米の若手選手を代表するスポーツエージェントを装っており、スポーツ界で最も裕福なリーグの1つであるサッカー界で大活躍しようとするものでした。
図1 若いサッカー選手Williamの本物の映像を含む良性ビデオ
対象となるクラブに送られたメールには、トレーニングや試合のハイライトを映した一見良性なビデオファイルやYouTubeのリンクが含まれていました。ビデオによるスカウティングは、特にヨーロッパ以外の国に本拠地を置く有望株に対してよく行われており、このキャンペーンで送られたYouTubeのリンクの中には、ふつうにアクセス可能なものもありました。しかし、この動画に興味を引かれ、添付されたMicrosoft Excelドキュメントをダウンロードし、マクロ有効化した被害者は、Formbook マルウェアに感染してしまうのです。
この例が示すように、サイバー攻撃者は、最もニッチで専門的な企業の慣習に精通するために、多大な労力を費やすことになるのです。
4. 学者へのなりすまし
多くのサイバー攻撃者は、大量かつあまり特徴的ではない電子メールによる誘惑に頼り、貴重な企業ネットワークにアクセスできる意識の低いの被害者を一人見つけることを期待して、広く網を張っています。しかし、これはすべての攻撃者の手口ではありません。
昨年夏、プルーフポイントはヨーロッパの学者や政策専門家をターゲットにしたイラン系攻撃グループTA453の活動を報告しました。この攻撃キャンペーンは、攻撃者と被害者の間の関わり方の性質と期間が異なることが特徴です。
2021年初頭、TA453はロンドン大学SOAS研究所の上級研究員を装い、本物の学者になりすましたよく似たメールアドレスを使って活動を開始しました。SOASはアジア、アフリカ、近・中東の研究を専門としており、TA453は中東の社会と政治に関するさまざまな専門家に接触するための理想的な口実を作り出しています。
図2 TA453のキャンペーンで使用された偽の会議招待状
ソーシャル・エンジニアリングキャンペーンの目的は、偽のウェビナー登録ページを通じて認証情報を盗むことでしたが、この終盤の行動を開始する前に、攻撃者は関係構築に多大な時間を費やしていました。TA453は、被害者との関係を構築する過程で、電話やビデオ会議を通じて、電子メールによるコミュニケーションにとどまらず、様々な接触を試みています。
3. フェイクだが機能的
昨年は、巧妙に細工された、しかし機能しないルアーを使ったソーシャルエンジニアリングキャンペーンがいくつか話題になりました。最も有名なのは、BazaLoaderマルウェアの配布に使われた偽ストリーミングサイト、BravoMoviesでしょう。
しかし、一部の攻撃者は、表面的なルアーではなく、より実用的なルアーを作り出しています。2021年8月のマルウェア配信キャンペーンでは、攻撃者は、機能的な運賃計算機を含むMicrosoft Excelファイルを送信しました。
図3 Dridexマルウェアを配信する運賃計算用スプレッドシートの機能
残念なことに、被害者がその功名に設計されたルアーに騙されてしまった場合、その出荷見積もりのファイルにはDridexマルウェアがおまけてついてきています。
2. 良いニュース or 悪いニュース
A/Bテストは、多くのマーケティング担当者にとって馴染み深い概念ですが、一部のサイバー攻撃者は、A/Bテストをソーシャルエンジニアリングにも試している可能性があるようです。2021年のクリスマス直前に行われたキャンペーンでは、ある受信者には解雇を知らせるメッセージが送られ、別の受信者には昇進と休暇中のボーナスの知らせが届きました。
図4 同じくDridexの配信キャンペーンから、解雇とボーナスをテーマにしたルアー
しかし、この2通のメッセージは、両方ともに実は悪い知らせを伝えていたのです。添付されたExcelファイルをダウンロードし、「コンテンツの有効化」をクリックすると、Dridexバンキング型トロイの木馬が被害者のコンピュータにダウンロードされることになるのです。
さらに、マルウェアのダウンロードが開始されると、「Merry Xmas」というポップアップが表示されるという嬉しい仕掛けまでついていました。
1. 相続か宝くじ当選か、なぜ両方ではないのか?
あなたは、250万ドルという思いがけない遺産を手に入れました いや、実は宝くじが当たったんです。しかし、カナダロイヤル銀行は、あなたのためにジャスティン・トルドー首相が介入するまで、少なくとも彼らは、あなたの大金を没収しようと躍起になっていたのです。
そして今、カナダ最高裁長官が、たった100ドルというささやかな金額で、このすべてが解決できることをあなたに知らせようとメールを送ってきました。賞金はATM Visaカードとしてお渡しします。
図5 巧妙な前金詐欺の誘い文句のメール
これは、昨年、あるメール詐欺師が仕掛けた巧妙な手口で、私たちが久々に目にした最も奇妙な誘い文句の賞を受賞したものです。事前送金詐欺は、時折奇抜なソーシャルエンジニアリングの手口で有名ですが、その種類と多様さでは、この攻撃者の手口の右に出るものはいないでしょう。
攻撃者はさまざまなおとりを用いて、攻撃を繰り広げています。日本ではEmotetの着弾ニュースが相次いでいますが、貴社の環境ですり抜けているこれらの攻撃の手口をお知りになりたい場合は、ぜひ無料のEメールセキュリティ 簡易アセスメントをご利用ください。
※本ブログの情報は、英語による原文「Rounding up the Past Year's Strangest Social Engineering Tactics」の翻訳です。英語原文との間で内容の齟齬がある場合には、英語原文が優先します。