米サイバーセキュリティ・インフラセキュリティ庁(CISA)と米国家安全保障局(NSA)は米国時間1月25日、共同アドバイザリーを公開し、サイバー犯罪者らがリモート管理ソフトウェアを活発に悪用してフィッシング詐欺や金銭の窃盗を実行していると警告した。
提供: Getty/Jamie Grill
今回の警告は、フィッシング電子メールによって被害者をだまして「ScreenConnect」(現在の名称は「ConnectWise Control」)や「AnyDesk」といった正規のリモート監視・管理(RMM)ソフトウェアをダウンロードさせることで、被害者の銀行口座へのアクセス権を得るという犯罪の発生を受けてのことだ。
ここで重要なのは、こうした行為で用いられるRMMツールが真っ当な用途を持つ正規アプリケーションであり、ウイルス対策ソフトウェアに検出されないという点だ。つまり、サイバー犯罪者らは被害者をだまし、ウイルス対策ソフトウェアに検出される可能性のあるマルウェアをダウンロードさせるといったことをせずとも、犯罪を遂行できるようになる。
CISAとNSAによると、この攻撃は金銭の窃盗に狙いを定めているものの、攻撃者がリモートアクセス権を得ることで、ユーザー名とパスワードを盗み取ったり、システムに侵入するためのバックドアをインストールしてランサムウェア攻撃の糸口にしたりするなど、その他の悪意ある行動につながる可能性があるという。
金銭的な動機を有するサイバー犯罪者らによるものと考えられているこの攻撃は、少なくとも2022年6月から続いている。こういった攻撃は、被害者を操るためのフィッシング電子メールの送信から始まる。
同アドバイザリーによると、このフィッシング攻撃でよく用いられているパターンは、数百ドル(数万円程度)の年間サブスクリプションが間もなく自動的に更新されるというメッセージを送付するというものだ。
このメッセージの目的は、被害者を混乱させ、電子メールに記載された「ヘルプデスク」に電話をかけさせることだ。その指示に従って、詐欺師が待ち構えているヘルプデスクに電話をかけた場合、被害者の問い合わせに応え、支払いを取り消すために「役立つ」RMMソフトウェアをダウンロードするよう求められる。
しかし実際のところ、年間サブスクリプションの自動更新などそもそもなく、攻撃者はRMMソフトウェアを動作させながら、被害者に自らのオンラインバンキングのアカウントにログインさせようとしているだけだ。そして攻撃者は、そのアクセスを利用して被害者の銀行口座から金を盗み取ろうとする。
このような攻撃の被害者となるのを避けるためにとり得る行動として、フィッシングメールをブロックするためのベストプラクティスを実行することや、入念な監視によってネットワークにおけるソフトウェアの不審または不正な利用を検出することなどが挙げられるという。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。