Netcraftは4月24日(英国時間)、「Autodesk hosting PDF files used in Microsoft phishing attacks|Netcraft」において、クラウドストレージの「Autodesk Drive」を悪用するフィッシングキャンペーンに注意を呼びかけた。攻撃者はAutodesk Drive上に保存した悪意のあるPDFファイルを通じてフィッシングサイトに誘導するとみられる。

  • Autodesk hosting PDF files used in Microsoft phishing attacks|Netcraft

    Autodesk hosting PDF files used in Microsoft phishing attacks|Netcraft

フィッシングキャンペーンの概要

今回確認されたフィッシングキャンペーンでは、侵害したメールアカウントを使用してフィッシングメールを送信する特徴があるという。さらに、メールの署名に本物を使用して既存の連絡先(社内および取引先)に送信するため、受信者は本人からのメールと認識する可能性が高いとされる。

  • フィッシングメールの例 - 引用:Netcraft

    フィッシングメールの例 引用:Netcraft

フィッシングメールにはAutodesk Drive上に保存されたPDFファイルへのリンクが記載されており、多くのユーザーはフィッシングメールと認識できないためアクセスする可能性が高いとみられている。PDFファイルには外部ドキュメントへのリンクボタンが存在し、ボタンを押下するとMicrosoftアカウントのログインページに偽装したフィッシングサイトへ誘導される。

  • フィッシングサイトの例 - 引用:Netcraft

    フィッシングサイトの例 引用:Netcraft

被害者がフィッシングサイトに認証情報を入力すると窃取され、その後、無害な不動産投資関連のPDFファイルにリダイレクトされる。最終的に無害な文章が表示されるため、被害者はMicrosoftアカウントの認証情報を窃取されたことに気付かない可能性がある。

影響と対策

Netcraftによると、このキャンペーンでは複数のPDFファイルとフィッシングサイトが用意されており、さまざまな言語にも対応しているという。これはある程度のテンプレート化と自動化を実現していることを示唆しており、世界中のユーザーが標的となる可能性がある。

また、本物のメールアカウントと署名を使用してフィッシングメールを送信しており、受信者がフィッシングメールを見抜くことは難しい。唯一不審な点があるとすれば、フィッシングサイトのURLがMicrosoftのドメインではないこと。この点に注意できれば攻撃を回避できるが、メールの送信者を信頼している場合はだまされる可能性がある。

Netcraftはこのような攻撃を阻止するために、クラウドストレージなどのインフラサービスを提供する企業に対し、悪意のあるファイルの共有やフィッシングサイトの構築を防止する対策が必要としている。