LinkedInのメッセージで始まるビジネスメール詐欺、著名な攻撃グループが関与か

ZDNET Japan Staff

2020-06-19 16:07

 LinkedInのメッセージを悪用したスピアフィッシングを通じて企業から金銭を窃取しようとした詐欺攻撃が見つかった。発見したセキュリティ研究者は、国家的組織を背景に活動する著名な攻撃者グループ「Lazarus」の関与を指摘している。

 この手口では、攻撃者がLinkedInで航空防衛企業のCollins Aerospace(旧Rockwell Collins)やGeneral Dynamicsの人事担当者を装う偽のアカウントを作成し、標的とした企業の関係者に求人メッセージを送り付ける手口で侵入した。さらに、企業間取引にまつわる情報を得て、取引先にもなりすましてやりとりを重ねながら金銭を振り込ませようとしたという。

攻撃に使われたLinkedInの偽アカウントから送信されたメッセージ(出典:ESET)
攻撃に使われたLinkedInの偽アカウントから送信されたメッセージ(出典:ESET)

 攻撃を発見したESETのマルウェア研究者、Dominik Breitenbacher氏は、メッセージが一見して著名な企業から送信された信頼できる求人情報だったが、LinkedInのプロフィールは偽物であり、悪意のあるファイルが送られていたと解説。攻撃に使われたマルウェアのサンプル名をもとに「「Operation In(ter)ception:」と名付けられた。

 標的になったのは、航空宇宙・防衛分野の企業だった。相手をだます手口には、OneDriveへのリンクを含むメールも使われたが、メールアカウントはLinkedInの偽のプロフィールに合致したという。

 攻撃者は侵入後に、さまざまなツールやWindowsのユーティリティーなどを悪用しながら侵入先を広げたとする。そして、被害者と顧客の未処理の請求書に関するやりとりを見つけてそこに関わり、攻撃者の銀行口座に請求分の支払いをするよう被害者の顧客に要求したことが分かった。

 結果的に、顧客がこの要求を疑い被害者に確認したことで攻撃は未遂に終わったが、一連の手法は「ビジネスメール詐欺」に似ている。

 攻撃は2019年9~12月に行われた。ESETでは標的の業種や開発環境、セキュリティ対策側の分析を回避する手法の類似性といった特徴から、Lazarusが関与している可能性を指摘している。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

ホワイトペーパー

新着

ランキング

  1. セキュリティ

    ISMSとPマークは何が違うのか--第三者認証取得を目指す企業が最初に理解すべきこと

  2. セキュリティ

    情報セキュリティに対する懸念を解消、「ISMS認証」取得の検討から審査当日までのTo Doリスト

  3. 運用管理

    IT管理者ほど見落としがちな「Chrome」設定--ニーズに沿った更新制御も可能に

  4. セキュリティ

    従来型のセキュリティでは太刀打ちできない「生成AIによるサイバー攻撃」撃退法のススメ

  5. セキュリティ

    シャドーITも見逃さない!複雑化する企業資産をさまざまな脅威から守る新たなアプローチ「EASM」とは

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]