フィッシング詐欺の新しい手口が報告された。新手口では、メールに記載された偽のURL(リンク)をクリックするだけで、Office 365などのクラウドサービスのアカウントを乗っ取られる恐れがある。
アカウントを乗っ取られると、クラウドに保存されたファイルやメール、連絡先などあらゆるデータを盗まれてしまう。従来のフィッシング詐欺と大きく異なる点は、ユーザーのパスワードを盗む必要がないことだ。一体、どんな手口なのだろうか。
パスワードを盗むのが常とう手段
一般的なフィッシング詐欺は、ユーザーのパスワードといった資格情報(認証情報)を盗むのが目的だ。攻撃者は実在する企業などをかたった偽メールをターゲットのユーザーに送る。メールには、正規のWebサイトに見せかけた偽サイトのリンクを記載する。
ユーザーがリンクをクリックすると偽サイトに誘導されて、パスワードなどの入力が促される。ユーザーがだまされて入力すると攻撃者に盗まれる。攻撃者はそのパスワードを使って正規のWebサイトにアクセスしてアカウントを乗っ取る。
誘導されるのは偽サイトなので、リンクのドメイン名をチェックすれば見破れることが多い。また、攻撃者の狙いはパスワードなので、「Webサイトでパスワードなどを入力する際には注意する」といったセキュリティーのセオリーを守れば被害に遭わない可能性が高まる。
ところが、2019年12月にセキュリティーベンダーの米フィッシュラブズ(PhishLabs)が報告した新手口では、これらの対策は通用しない。誘導されるのは偽サイトでないうえに、パスワードを盗むことが目的ではないからだ。
Office 365のログインページに誘導する
フィッシュラブズによると、新手口で攻撃者が送るメールはHTMLメールで、Office 365のログイン(サインイン)ページである「https://login.microsoftonline.com/」から始まるリンクが埋め込まれている。
メールには、あるExcelファイルがOneDriveで共有されたと書かれている。Office 365のユーザーならそれほど違和感を覚えないだろう。