The Hacker Newsは7月2日(現地時間)、「Hackers Using PDFs to Impersonate Microsoft, DocuSign, and More in Callback Phishing Campaigns」において、偽のPDF文書を送付して電話をかけさせるソーシャルエンジニアリング攻撃に注意を呼びかけた。

これは電話指向型攻撃配信(TOAD: Telephone-Oriented Attack Delivery)またはコールバックフィッシングと呼ばれる攻撃手法で、被害者から攻撃者に電話をかけさせるのが特徴。

Cisco Talosが7月2日に公開した脅威レポート「PDFs: Portable documents, or perfect deliveries for phish?」の最新の攻撃サンプルを例に、同攻撃の概要を伝えている。

最新のTOADサンプルの分析

レポートでは偽のPDF文書を使用したTOADの例として、McAfeeに偽装した詐欺メールのサンプルを公開。このメールには本文がなく、PDF文書が1つだけ添付されているという特徴がある。

メール本文を空にするこの手法は、セキュリティソリューションによる検出を回避する目的があるとされる。Cisco Talosは最近のアップデートで悪意のあるPDFペイロードの検出が可能になったと伝えており、攻撃者はPDF文書を用いることで検出を回避できる可能性が高いことを理解しているとみられる。

  • TOADに使用した詐欺メールの例 - 引用:Cisco Talos

    TOADに使用した詐欺メールの例 引用:Cisco Talos

通常のフィッシングメールではPDF文書にQRコードやリンクを記載してフィッシングサイトなどに誘導する。これに対し、TOADでは電話番号を記載してリンクを含まない傾向があるという。また、電話番号から攻撃者の所在地を推定されないように、VoIP番号(日本では050から始まるIP電話が相当)を使用することが多いとされる。

レポートによると、このVoIP番号は数日間使い回す傾向がみられ、その理由として以下が考えられるという。

  • セキュリティ企業が特定した悪意のある電話番号は、他のセキュリティ企業と共有されないまたは共有が遅い
  • 多段階の攻撃を実行する場合は電話番号を維持する必要がある
  • 有料のVoIP番号のコスト削減

日本にも攻撃元デバイスの存在

レポートではTOADに限らず、PDF文書を添付したフィッシングメール全般についても調査報告を行っている。その中で、5月5日から6月5日までの期間に大手IT企業に偽装したフィッシングメールの送信元情報を公開している。多くは欧米に集中しているが、興味深いことに日本も発信元に含まれていることが報告されている。

この送信元情報はIPアドレスに基づいており、攻撃者の所在地を示すとは限らないが、少なくとも攻撃に悪用されたデバイスが国内に存在することになる。

  • 大手IT企業に偽装したフィッシングメール送信元の分布図 - 引用:Cisco Talos

    大手IT企業に偽装したフィッシングメール送信元の分布図 引用:Cisco Talos

The Hacker Newsはここ数カ月、Microsoft 365の「Direct Send」を悪用し、社内ユーザーを装ってアカウントを侵害することなくフィッシングメールを送信するケースが増加しているとして注意を呼びかけている。

TOADの傾向と対策

TOADは被害者に緊急性のある取引や問題解決の機会を与えると通知して、折り返し電話するように誘導する。電話を利用することで被害者に信頼と安心感を与え、言葉たくみに被害者の感情を操作して詐欺の成功率を向上させる。

The Hacker Newsによると、この手法は被害者環境にバンキング型トロイの木馬やリモートアクセスツールをインストールさせる目的で使用される傾向があるという。最近では経済的利益を目的とする脅威グループが、IT部門の担当者を装い標的ネットワークに侵入するために使用したとされる。

TOADを含むソーシャルエンジニアリング攻撃に対してはその手法を知り、同様の攻撃に遭遇した際に無視することが対策となる。

脅威アクターはさまざまな手法を進化させ、セキュリティをかいくぐって攻撃を仕掛けてくる。インターネットを利用するすべてのユーザーには、最新の攻撃手法について情報収集を続け、警戒を怠らず、突然の攻撃に冷静に対処することが望まれている。