「怪しい添付ファイルを開くな」ではもうフィッシング被害を防げない：フィッシング攻撃の3つの新手口

認証情報を狙うフィッシング攻撃の手口が一段と巧妙化している。認証情報が流出すれば、データや金銭に絡む深刻な事態に陥る可能性がある。特に注意が必要な、フィッシング攻撃の新しい手口とは。

[Alex Scroxton，TechTarget]

　メールに不正な添付ファイルを仕込んで標的に送る――。これはフィッシング攻撃の代表的な手口だ。だが「その手口はもう古い」と、セキュリティベンダーMimecastは説明する。同社によると、攻撃者はさまざまなクラウドサービスを悪用し、より巧妙な手口で標的から認証情報を奪っている。特にこれから気を付けなければならない、フィッシング攻撃の新しい“3つの手口”とは。

フィッシング攻撃の新たな「3つの手口」とは

併せて読みたいお薦め記事

フィッシング攻撃の動向と対策は

• 「MFA」が無効になることも……フィッシング攻撃に“有効なMFA”は何が違う？
• “ソースコード流出”のDropboxが強化するフィッシング対策は？

　Mimecastによると、フィッシングを目的に不正リンクを送信する攻撃活動は活発だ。近年、ユーザー組織は不正アクセスを防ぐために多要素認証（MFA）ツールを導入するなどして対策を強化しているが、その動きを受けて攻撃者は手口を巧妙化させている。

　フィッシング攻撃の傾向について、不正なプログラムを埋め込んだ添付ファイルを送信する従来の手口の代わりに、3つの新しい手口が広がっているとMimecastは説明する。

1．「LinkedIn」の悪用

　1つ目の手口は、ビジネス向けSNS（ソーシャルネットワーキングサービス）「LinkedIn」の悪用だ。この手口では、攻撃者が標的にLinkedInドメインのリンクを送信し、「あなたに届いた音声メッセージを確認する必要がある」とクリックを促す。クリックすれば、セキュリティベンダーCloudflareのCAPTCHA（ゆがみ文字列による認証方式）に誘導され、そこからメールクライアント「Microsoft Outlook」の偽のサインインページが表示される。

2．「Microsoft 365」の悪用

　2つ目の手口は、サブスクリプション形式のオフィススイート「Microsoft 365」の悪用だ。この手口では、攻撃者は標的の組織が利用するMicrosoft 365のメールアカウントに入り込む。そのアカウントから、その組織と同じ業界に所属する他の組織の従業員に不正メールを送って認証情報を収集する。メールを受け取った人は正当なアカウントからのものだと考え、認証情報を提供する可能性が高いとMimecastは説明する。

3．「コンプライアンス問題」切り口

　3つ目の手口は、コンプライアンス（法令順守）問題に関連付けた手口だ。攻撃者は標的に「コンプライアンス問題に対処する必要がある」といった内容のメールを送り、メール内に偽のリンクを埋め込む。法的な問題にも関わるコンプライアンスを切り口にすることで標的を不安にさせ、認証情報の提供を促す。

フィッシング攻撃にもAIの波

　Mimecastによると、人工知能（AI）技術を切り口とした手口のフィッシング攻撃も広がりつつある。例えば、不正なPDFが添付されたメールによる手口がある。この手口は、表的は開発ツールベンダーReplitのAI開発サービスで作成したとみられるページに標的を誘導し、認証情報の入力を求める。

　他には、「請求書の支払い期日が差し迫っている」といった内容のメールを標的に送り、AI型コールセンターに連絡するように指示して認証情報を入力させる攻撃もあったという。

　画像や文章を生成する「生成AI」（ジェネレーティブAI）をフィッシング攻撃に利用する動きも加速化している。Mimecastによると、攻撃者はフィッシング攻撃の標的設定やメール作成を生成AIに任せることで、攻撃活動の効率や成功率を高められる可能性がある。

Computer Weekly発　世界に学ぶIT導入・活用術

米国TechTargetが運営する英国Computer Weeklyの豊富な記事の中から、海外企業のIT製品導入事例や業種別のIT活用トレンドを厳選してお届けします。