リモート管理ソフトウェアを悪用するフィッシング詐欺、NSAとCISAが注意喚起

Danny Palmer (ZDNET.com) 翻訳校正: 編集部

2023-01-27 09:38

 米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国家安全保障局(NSA)は米国時間1月25日、共同アドバイザリーを公開し、サイバー犯罪者らがリモート管理ソフトウェアを活発に悪用してフィッシング詐欺や金銭の窃盗を実行していると警告した。

不安そうにPCの画面を見る人
提供: Getty/Jamie Grill

 今回の警告は、フィッシング電子メールによって被害者をだまして「ScreenConnect」(現在の名称は「ConnectWise Control」)や「AnyDesk」といった正規のリモート監視・管理(RMM)ソフトウェアをダウンロードさせることで、被害者の銀行口座へのアクセス権を得るという犯罪の発生を受けてのことだ。

 ここで重要なのは、こうした行為で用いられるRMMツールが真っ当な用途を持つ正規アプリケーションであり、ウイルス対策ソフトウェアに検出されないという点だ。つまり、サイバー犯罪者らは被害者をだまし、ウイルス対策ソフトウェアに検出される可能性のあるマルウェアをダウンロードさせるといったことをせずとも、犯罪を遂行できるようになる。

 CISAとNSAによると、この攻撃は金銭の窃盗に狙いを定めているものの、攻撃者がリモートアクセス権を得ることで、ユーザー名とパスワードを盗み取ったり、システムに侵入するためのバックドアをインストールしてランサムウェア攻撃の糸口にしたりするなど、その他の悪意ある行動につながる可能性があるという。

 金銭的な動機を有するサイバー犯罪者らによるものと考えられているこの攻撃は、少なくとも2022年6月から続いている。こういった攻撃は、被害者を操るためのフィッシング電子メールの送信から始まる。

 同アドバイザリーによると、このフィッシング攻撃でよく用いられているパターンは、数百ドル(数万円程度)の年間サブスクリプションが間もなく自動的に更新されるというメッセージを送付するというものだ。

 このメッセージの目的は、被害者を混乱させ、電子メールに記載された「ヘルプデスク」に電話をかけさせることだ。その指示に従って、詐欺師が待ち構えているヘルプデスクに電話をかけた場合、被害者の問い合わせに応え、支払いを取り消すために「役立つ」RMMソフトウェアをダウンロードするよう求められる。

 しかし実際のところ、年間サブスクリプションの自動更新などそもそもなく、攻撃者はRMMソフトウェアを動作させながら、被害者に自らのオンラインバンキングのアカウントにログインさせようとしているだけだ。そして攻撃者は、そのアクセスを利用して被害者の銀行口座から金を盗み取ろうとする。

 このような攻撃の被害者となるのを避けるためにとり得る行動として、フィッシングメールをブロックするためのベストプラクティスを実行することや、入念な監視によってネットワークにおけるソフトウェアの不審または不正な利用を検出することなどが挙げられるという。

この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]