誰でも手軽にフィッシング詐欺が可能? PhaaS「Caffeine」に注意
Mandiantは新たなフィッシング・アズ・ア・サービスのプラットフォーム「Caffeine」を発見した。サイバー犯罪者が簡単かつ効果的にフィッシング詐欺を実行できるツールとして注目が集まっている。
サイバー犯罪者がサイバー攻撃によって売り上げを得るにはそれ相応の技術や準備、そして運用が必要だが、全ての犯罪者がこうした能力を備えているわけではない。そのためダークWebなどでは、これらの機能をアズ・ア・サービス型で提供するケースが増えてきている。
セキュリティ企業のMandiantは2022年10月11日(現地時間)、同社のブログで「Caffeine」と呼ばれるフィッシング・アズ・ア・サービス(PhaaS:Phishing-as-a-Service)プラットフォームについて言及した。
Mandiantは2022年3月に同社の顧客を標的としたフィッシング詐欺について調査する中で、Caffeineを発見したとしている。
フィッシング詐欺参入への間口を広げるCaffeineの特徴とは
Caffeineはこれまでのフィッシング・アズ・ア・サービスと同様に、カスタマイズしたフィッシング詐欺キットの用意や中間リダイレクトページの管理、最終段階となるルアーページの管理、ホストされたペイロード用URLの動的生成、キャンペーン電子メール活動の追跡など、フィッシング詐欺に必要な機能をサブスクリプションベースで包括的に提供する。Mandiantは、CaffeineのUIについて直感的で扱いやすく、フィッシング詐欺キャンペーンを展開する際には中核となるソフトウェアだと指摘している。
ただし、こうしたサイバー攻撃に利用するソフトウェアや機能をサービスとして提供する販売方式は珍しいものではない。Mandiantによれば、Caffeineの特徴としてはその「登録プロセス」にあるという。
こうしたサービスは、地下フォーラムや暗号化されたメッセージングサービスなどを使って既存のユーザーからの推薦や紹介状を経てから利用が可能になるケースが一般的だ。しかしCaffeineは、電子メールアドレスがあれば登録できるため参入障壁が比較的低く設定されている。登録の間口が広がっていることで、これまでよりも多くのサイバー犯罪者がこのサービスを利用したフィッシング詐欺キャンペーンを展開する可能性があり注意が必要だ。
なお、Mandiantはフィッシング・アズ・ア・サービスへの対処についてサイバー犯罪者とのいたちごっこになる可能性があると指摘しつつ、侵害を軽減する対策として以下を推奨している。
- 公開済みのWebインフラストラクチャとファイルを、既知の適切なバージョンのコンテンツに対して定期的に評価する
- 初期URL構造やフォーム送信、及びリダイレクトを含めるためにWebログ分析に行動分析を利用する
- パスワードと資格情報のリセットに関するセキュリティポリシーを時折再評価する
- 少なくとも、外部ソースからエンタープライズ環境にアクセスするために使用される全てのユーザーアカウントに二要素認証を実装する
関連記事
- 誰かが「安全」といえば信じるの? “分かりやすい”セキュリティ対策の落とし穴
セキュリティ脅威が活発化する今、偽のWebサイトやフィッシングメールを見破る方法などがSNSで拡散されるケースがあります。確かにこうした一目で判断できる基準があればいいのですが、現実はそう簡単にはいきません。 - Microsoftが10月の累積更新プログラムの配信を開始 迅速に適用を
Microsoftは2022年10月の累積更新プログラムの配信を開始した。複数の製品が修正対象となっているため、迅速にアップデートを適用してほしい。 - Fortinet製品にCVSS v3スコア9.6の脆弱性 直ちにパッチの適用を
Fortinetは複数製品に深刻度「緊急」(Critical)の脆弱性が存在すると発表した。該当製品を使用している場合、直ちに内容を確認するとともにアップデートおよび回避策を適用してほしい。 - 中国が支援する脅威アクターがよく利用する脆弱性とは トップ20を発表
CISAらは、中国が支援するサイバー攻撃者がよく使っている脆弱性に関する情報を公開した。これらの情報を参考に防御体制を強化することが求められる。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.