MailGuardは3月12日(現地時間)、「Microsoft Re-Authentication Scam Targets User Credentials」において、Microsoftからの再認証要求を装ったフィッシングメールに注意を呼びかけた。このメールはMicrosoftがよく使用するビジュアルを模倣しており、送信元アドレスを確認しないとだまされる可能性がある。

  • Microsoft Re-Authentication Scam Targets User Credentials

Microsoftを装ったフィッシングメール

MailGuardが確認したフィッシングメールでは、MicrosoftのWebサイトでよく見かける青い特徴的なボタンが使用されている。それ以外のアイコンや全体的な雰囲気も正規のものに似せており、Microsoftからのメールと見間違う作りとなっている。

  • 002l.jpg

    Microsoftを装ったフィッシングメールの例 引用:MailGuard

このフィッシングメールの「Re-authenticate Now」ボタンを押下すると、Microsoftの正規サインインページを装ったフィッシングサイトへ誘導される。このフィッシングサイトはアクセスするユーザーごとに異なるページを表示することが確認されており、外観とインタフェースにある程度のランダム性を持たせているものとみられる。

フィッシングサイトからサインインを試みると認証情報が窃取される。このとき正しい認証情報を入力してもアカウントまたはパスワードの入力が間違っていると表示され、先に進むことはできない。

  • 003l.jpg

    常にエラー表示となる偽のサインイン画面 引用:MailGuard

対策

MailGuardはこのような攻撃を回避するために、次のような対策を推奨している。

  • 送信先メールアドレスに併記されるユーザーの氏名およびメール本文の氏名が間違っているか記載のないメールは無視する
  • メール本文の文法に誤りや稚拙な表現のあるメールはフィッシングメールの可能性があるため注意する
  • 連絡を期待していない突然のメールに注意する
  • 送信元メールアドレスがメール本文の企業と異なるメールは無視する
  • メール本文のリンク先アドレス(ブラウザのアドレス欄から確認)がメール本文の企業と異なる場合はフィッシングサイトの可能性が高いため、何も入力せずにブラウザを閉じる

企業への壊滅的な被害をもたらすサイバー攻撃は、1通のフィッシングメールの成功から始まる。脅威アクターは従業員1人の認証情報を窃取するだけで企業内ネットワークに侵入し、さまざまな手法により継続的かつ広範囲に侵害する。このような攻撃を回避するために、企業は上記の対策の徹底が望まれている。