Netskopeは8月27日(米国時間)、「Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks - Netskope」において、オンライン資料製作ツールの「Microsoft Sway」を使用したフィッシングページへのアクセスが、2024年7月に2,000倍に急増したと伝えた。このキャンペーンは主にアジア、北米のユーザーを標的にしており、誘導にQRコードを悪用するとされる。

  • Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks - Netskope

    Phishing in Style: Microsoft Sway Abused to Deliver Quishing Attacks - Netskope

検出回避の手法と目的

Microsoft Swayを悪用する今回のフィッシングキャンペーンでは、さまざまな検出回避の手法が使用されている。Microsoft Swayの悪用もその一つだが、他にもQRコードを悪用したURLスキャンの回避、Cloudflare Turnstileを使用した静的URL検出の回避などを使用する。

  • Microsoft Swayを悪用したフィッシングページの例 - 引用:Netskope

    Microsoft Swayを悪用したフィッシングページの例 引用:Netskope

QRコードのリンク先はMicrosoft 365のログインページをコピーしたフィッシングサイトとされる。被害者がMicrosoftアカウントの認証情報を入力すると、裏で正規のMicrosoft 365ページにログインしてアクセストークンとCookieを窃取する。その後、正規のMicrosoft 365ページにリダイレクトして攻撃を隠蔽する。

なお、この手法の場合、多要素認証(MFA: Multi-Factor Authentication)を設定していても攻撃を認識できず、コードを入力してしまう可能性が高いとみられている。

影響と対策

Netskopeの調査によるとこのキャンペーンは2024年7月に急激に増加したという。初期アクセス(Swayの共有)はフィッシングメール、Twitterなどとなっている。

  • Microsoft Swayを使用したフィッシングページのトラフィックの推移 - 引用:Netskope

    Microsoft Swayを使用したフィッシングページのトラフィックの推移 引用:Netskope

Netskopeは同様の攻撃を回避するため、企業に対して次のような対策の実施を推奨している。

  • Microsoft Swayのドメインが「sway.microsoft.com」から「sway.cloud.microsoft」に変更された。URLフィルターによる保護を実施している場合は設定を変更する
  • クラウドトラフィックを含むすべてのHTTP[S]トラフィックを検査してフィッシングサイトへのアクセスを阻止する
  • リモートブラウザーアイソレーション(RBI: Remote Browser Isolation)を導入する

フィッシング攻撃は日々進化を続けており、今回は既存のセキュリティ機能を回避する複数の手法が使用された。そのため、ユーザーにも最新の攻撃を理解し回避策を講じることが望まれている。こうした攻撃は、リンクアクセス後に表示されるログインページを一旦閉じ、ブックマークまたはURLを直接入力してアクセスしたページからのみログインすることで回避できる。