「ラテラルフィッシング」とは? 狙われるMicrosoft 365、テレワークで知っておきたい最新セキュリティ事情

多くの企業がテレワークに取り組む今こそ知っておきたい脅威「ラテラルフィッシング」とは? 実例とともに対応策を紹介します。

» 2020年05月01日 10時00分 公開
[上村 和博デジタルアーツ]

この記事は会員限定です。会員登録すると全てご覧いただけます。

 急変した情勢によりテレワークを実施する企業が増加している今、知っておくべき攻撃が「ラテラルフィッシング」です。ラテラル(横方向)フィッシングとは、乗っ取った正規のメールアカウントからそのアカウントになりすましてフィッシングメールを送る手法のことを指します。

 特に注意したいのが「Microsoft 365」(旧称Office 365)のアカウントの乗っ取りです。Microsoft 365にはメールやファイル共有などさまざまなサービスがあり、クラウド上の共通URLからIDとパスワードでアカウントにログインして利用できるため、非常に便利なものとなっています。テレワークのためにMicrosoft 365を導入し、活用している企業も多いでしょう。その半面、セキュリティ設定や運用方法がきちんとできていないとアカウント情報が窃取され、さまざまな重要データに簡単にアクセスを許してしまうということもあり得ます。

国内有名企業を実際に襲った手口

 国内での実例としては2019年に、国内で有名なフィットネス事業を営むA社で、従業員のメールアカウントが踏み台にされ迷惑メールが送信されてしまったという事件がありました。

日付 情報
2019年10月末日 A社の乗っ取られたメールアカウントから迷惑メールが送付される
2019年10月末日 午後、A社のセキュリティチームから迷惑メールの受信者に対して注意喚起とお詫びメール送付
2019年11月初旬 A社による不正アクセスに関して第一報
2019年12月初旬 A社による不正アクセスに関して第二報

 第一報と第二報により、迷惑メールはの宛先は「取引先に対し送信された」と発表していることから、攻撃者は「A社となんらかのやりとりのある企業」となり、ラテラルに攻撃したと考えられます。この迷惑メールを独自に入手し、攻撃者が何をしようとしていたのかを探りました。

Microsoft 365のアカウント窃取を狙ったフィッシング

 乗っ取られたA社のメールアカウントが送信した迷惑メールを調査したところ、Microsoft 365のアカウント窃取を狙ったフィッシングであることが分かりました。

図1 乗っ取られたメールアカウントから送付された迷惑メールクリックで拡大

 迷惑メールは、送信元の偽装はされておらずA社の正規ドメインから送付されていました。また、メール内のURLは「Microsoft SharePoint」の正規ドメイン「sharepoint.com」を使用しており、このURLからフィッシングページへの誘導が開始されていました。

図2 メール内のURLリンクにアクセスクリックで拡大

 URLリンクをWebブラウザで開くと、SharePoint上の「OneNote」で共有されたPDFをダウンロードするように装っていました。A社の社名に関連する文字列も多く使われています。このSharePointのURLは、実在の海外企業が利用しているもので、知らぬ間に攻撃者によってフィッシングに使われてしまったと考えられます。

図3 Microsoft 365のフィッシングページクリックで拡大

 フィッシングページで使われていた「appspot.com」はGoogleが管理するドメインで、誰でもこのサブドメインでWebサイトなどの構築が可能です。Microsoft 365の正規のページではありません。このフィッシングページでIDとパスワードを入力して進むと、別のURLへと遷移しPDFが表示されます(図4)。ここで入力したIDとパスワードは、攻撃者が独自で準備したと考えられる不審なドメイン(*.c3y5-tools[.]com)へと送信されていました。

図4 最終的に誘導されたURLは無害なPDFクリックで拡大

 最後に、不動産関連企業が公開している正常なPDF資料が表示されました。PDFには悪性要素はなく無害です。これはPDFのダウンロードを装っていたことのつじつまをあわせ、違和感をなくしているのでしょう。このように、攻撃者はすでに乗っ取ったA社からさらに関連する企業へとラテラル(横方向)にフィッシングを仕掛け、Microsoft 365のアカウントを窃取しようとしていました。こういった被害を防ぐためにラテラルフィッシングへの対策はどのようにすれば良いのでしょうか。

古い考えは通用しない ラテラルフィッシングへの対策

 なぜA社はメールアカウントを乗っ取られたのでしょうか。A社は何が原因でメールアカウントを乗っ取られたのかは公開していないため真相は分かりません。Microsoft 365を企業が利用しているかどうかは、利用しているドメインが分かればDNSレコードなどから把握が可能です。

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ