Microsoftは米国時間8月12日、あるフィッシング詐欺グループが使用しているテクニックを同社ブログで明らかにした。その特徴は、「ジグソーパズル」的な技法に加え、モールス符号の長点(−)と短点(・)という今までになかった手法を用いて攻撃を隠ぺいしようとするというものだ。
またこのグループは、後のハッキングに使用するための認証情報を入手する目的のフォームの配信に、XLS.HTMLという名称の、すなわちウェブドキュメント形式の請求書を用いている。このテクニックは、従来型の電子メールフィルタリングシステムの網の目をかいくぐるという点で注目に値する。
Microsoft Security Intelligenceは投稿に「HTML形式の添付ファイルは、パスワードを盗むためのJavaScriptファイルといった複数のセグメントに分割され、さまざまなメカニズムを用いてコード化されている。またこれら攻撃者は、そのまま読み下せるHTMLコードを用いるのではなく、古くからあるモールス符号のような、かつては見られなかった暗号化テクニックを用いて攻撃セグメントを隠ぺいするようになっている」と記している。
また、「添付ファイルは、まるでジグソーパズルのようになっている。HTMLファイルの個々のセグメントは単体コードレベルで全く害がないように見えるため、従来型のセキュリティソリューションの網の目をかいくぐれるようになっている。これらセグメントは、組み合わされ、適切な形でコードが復元されることで初めて、悪意ある意図を見せるようになっている」とも記している。
この攻撃の主な目的は、ユーザー名とパスワードの入手だが、IPアドレスや位置情報といった、その後の攻撃で使用できる価値あるデータの収集も含んでいる。Microsoftは「このフィッシングキャンペーンは、セキュリティ統制の網の目をかいくぐるために、HTMLファイルのコード化に手間暇をかけているという点で類を見ないものだ」と記している。
この攻撃はビジネスメール詐欺(BEC)に分類され、ランサムウェアによるサイバー犯罪を上回るほどの、極めて額の大きな詐欺行為となっている。
Microsoftは、「この『XLS.HTML』というフィッシングキャンペーンでは、ソーシャルエンジニアリングが利用され、一般的な財務関連、具体的にはベンダーからの支払い関係の文書に見えるやりとりを模倣する複数の電子メールが作成される。それら電子メールの一部の件名には、強調文字が使用されている」と記している。
Excelと思わせる添付ファイル名と、財務関連の件名は、被害者をだまして認証情報を入力させるという意図を有している。
「添付ファイルの名前にXLSを含めることで、Excelファイルが送られてきたとユーザーに勘違いさせる。そして、ユーザーがその添付ファイルを開くと、ブラウザーウィンドウが開き、ぼかしのかかったExcel文書の画像とともに、偽のMicrosoft Office 365の認証ダイアログボックスが表示される。またこのダイアログボックスには、標的の電子メールアドレスや、場合によっては企業のロゴが情報として表示されることもある点に注意が必要だ」(Microsoft)
なお、この攻撃では悪意あるコード部分を隠ぺいするためにモールス符号が使用されており、コードの復元にはウェブ開発で最も普及しているプログラミング言語であるJavaScriptが用いられている。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
