Abnormal Securityは2月14日(米国時間)、「Widespread ‘Doc(s) Delivery’ Spear-Phishing Campaign Targets Enterprises with Hundreds of Compromised Accounts - Abnormal Security」において、多数の企業を標的にした広範囲にわたる新しいスピアフィッシングのキャンペーンを発見したと伝えた。攻撃は何百もの侵害された電子メールアカウントによって行われ、フィッシングページに誘導するパーソナライズされた電子メールの送信が組織的に行われているという。

電子メールの内容はeFaxなどのサービスから発信された「Doc(s) Delivery」通知に偽装されており、埋め込まれたURLをクリックすると、JoomやWeebly、Quipなどにホストされた偽のMicrosoft 365ページにリダイレクトされるという。

  • 偽装されたDoc(s) Delivery通知の例 − 画像: Abnormal Securityより

    偽装されたDoc(s) Delivery通知の例 引用:Abnormal Security

  • 資格情報を盗むフィッシングページに誘導される − 画像: Abnormal Securityより

    資格情報を盗むフィッシングページに誘導される 引用:Abnormal Security

Abnormal Securityの研究者は、このスピアフィッシングキャンペーンについて、2つの特徴を指摘している。ひとつは、偽装メールの送信が侵害された電子メールアカウントを利用して行われている点だ。受信者にとっては、送信元が過去にメールの交換をしたことがあるアカウントである場合、容易に本物だと信じ込んでしまう可能性がある。これはフィッシング対策のセキュリティを回避するための戦術として知られている。

もう1つの特徴は、もし1つのメールが検出・捕捉された場合、攻撃者は内容を新しい(偽の)送信者とリンク先に変更してキャンペーンを続行できるよう、スクリプトを実行している形跡があるという点だ。これによって、セキュリティソリューションによる攻撃の防止を難しくしている。

このようなスピアフィッシングキャンペーンは、既知の送信者から発信された電子メールであれば信頼しやすいという心理的な隙を狙って行われる。知っている相手からのメールだったとしても、その内容に不審な点がないかをよく注意して取り扱う必要がある。Abnormal Securityの記事では、同社のソリューションがどのようにしてこのタイプの攻撃を検出するのかが解説されている。