マルウェアダウンロードを促さないコールバック型フィッシング詐欺 その巧妙な手口とは？【訂正あり】

Palo Alto Networksは「Luna Moth」というサイバー犯罪グループの「コールバック型フィッシング詐欺キャンペーン」を伝えた。マルウェアのダウンロードを促さないのが特徴だという。

[後藤大地，有限会社オングス]

訂正のお知らせ

本文中の「フィッシング」および「コールバック型フィッシング詐欺」の定義に誤りがあり、誤解を招く表現となったことをお詫び申し上げます。タイトルおよび本文の該当箇所を訂正しました（2022年11月29日20時47分更新）。

　Palo Alto Networksは2022年11月21日（現地時間）、同社のブログで「Luna Moth」と呼ばれるサイバー犯罪グループが展開する「コールバック型フィッシング詐欺」キャンペーンについて注意喚起した。

　フィッシング詐欺は電子メールなどを経由して偽のWebサイトにユーザーを誘導し、個人情報を入力させる手口が用いられることが多い。対して、コールバック型フィッシング詐欺は、サイバー攻撃者とユーザーが電話で直接やりとりし、ユーザーにマルウェアのインストールを促す攻撃手法だ。

　コールバック型フィッシング詐欺は、上記に加えて実行コストが低く安易に収益化が可能であるため、今後この手法によるサイバー攻撃の増加が懸念されており注意が必要だ。

Palo Alto Networksはコールバック型フィッシング詐欺について詳細に解説した（出典：Palo Alto NetworksのWebサイト）

Luna Mothのコールバック型フィッシング詐欺は従来と何が異なるのか？

　Luna Mothが展開するコールバック型フィッシング詐欺は、いわゆる電話を使ったソーシャルエンジニアリング攻撃だがマルウェアのインストールを促さないという点で特徴的だ。

　最初の攻撃ベクトルは電子メールだ。サイバー攻撃者は、請求書を添付したフィッシング詐欺メールを送信し、請求書に掲載された電話番号に電話をかけさせる。請求金額は比較的少額であり、体裁はそれらしくユニークな請求番号まで付与されている。掲載された電話番号に電話すると、偽のコールセンターにつながる。

　偽のオペレーターは、標的にサポートを提供するという名目でソフトウェア（リモート管理ツール）のダウンロードを促す。このソフトウェアは正規のものであるため、セキュリティソフトウェアを使用していても検知には引っ掛からない。

　リモート管理ソフトウェアをインストールし、サイバー攻撃者による永続的なアクセスが確立されれば、後はそこから情報を窃取して脅迫を実行する。支払いがなければ窃取した情報を公開すると脅したり、取引先や顧客に連絡すると脅したりして、支払いを強要する。

　このキャンペーンはマルウェアが使用されないことから、セキュリティソフトウェアによる検出は困難だ。Palo Alto Networksは「この攻撃を防衛するのは従業員であり、彼らのサイバーセキュリティ啓発トレーニングが有効な防衛ラインになる」と説明する。

　こうしたコールバック型のフィッシング詐欺は、標的当たりの実行コストや検出される確率も低い一方で収益化が容易であることから、今後増加すると予測されている。参入障壁が低く、多くのサイバー犯罪グループが同様の犯罪行為に及ぶ可能性があるため、注意が必要だ。

　Palo Alto Networksは「恐怖を煽ったり緊急性などを強調したりするメッセージには常に注意が必要だ」と指摘する。対策としては、予期せぬ請求書や予期せぬ電話依頼、ソフトウェアインストール要求などに重点をおいたサイバーセキュリティ啓蒙トレーニングの強化検討や、認可されていないソフトウェアインストールなどを検出・防止するツールへの投資などを検討してほしい。