最近、お客様から、ブラウザハイジャッカーにリダイレクトするフィッシング攻撃について報告をいただきました。分析の結果、攻撃者はテクニカルサポートを装い、エラーメッセージと電話番号を表示するなどしてユーザーを脅し、マルウェアに感染していると思わせ、必要のないテクニカルサポート代金を支払わせる、ということがわかりました。これは一般ユーザーにとっても、またビジネスがメールに大きく依存している現在の企業ユーザーにとっても、非常に深刻な問題です。皆さんご存知のように、多くの方々が被害に合っているフィッシング詐欺メールは、主要なセキュリティ侵害のひとつです。
報告のあったブラウザハイジャッカーを用いたフィッシング詐欺の例
はじめに、以下の画像のような、「Click here to show this message(メッセージを表示するためボックスをクリックしてください)」と記載されたクリックを要求するメールが届きます。ユーザーがメッセージをクリックすると、ユーザー情報の入力を求める URL にリダイレクトされます。
以下のスクリーンショットのように、メッセージの上にマウスを移動すると悪意のあるURLが現れます。フィッシング詐欺メールでは、これらのURLは短時間しか利用できず、頻繁に変更される傾向にあります。
ユーザーは、下図のようなウェブサイトにリダイレクトされる可能性があります。本物のように見えるため、騙されて認証情報を提供してしまう場合もあります。
スクリーンが全画面表示モードになってしまい、ユーザーがブラウザを終了することができなくなります。この点はランサムウェアと似ている点です。いくつかのランサムウェアの亜種でみられるようなオーディオ付きの場合もあります。タブまたはブラウザを終了できない場合は、Ctrl + Alt + Delete を使用してタスクマネージャーを開き、ブラウザを見つけて終了させることが可能な場合もあります。
下のスクリーンショットは、少し違う別の例です。
このサイバー攻撃に使用されているすべてのドメインは、Namecheapから購入されています。また、このフィッシング攻撃を広めるために使用されているメールアカウントは、正当なアカウントを乗っ取ったものです。※顧客情報を含んでいるためメールのハッシュはご覧いただけません。
各社から対応製品は提供されていますが、弊社の場合の対応策をご紹介します。
このような詐欺による脅威を防御するには
メールに埋め込まれた悪意のあるHTMLは、「Phish-EmailFraud.icu」としてDATにカバーされており、現時点のDATのリストに含まれています。また、マカフィーサイトアドバイザー、McAfee Security for Microsoft Exchangeなどのマカフィー製品を組み合わせて使用することで、環境および従業員を護ることが可能です。
マカフィーサイトアドバイザー
マカフィーサイトアドバイザーを使用すると、悪意のあるURLを集めブロックサイト・リストに追加するので、ユーザーがフィッシングメールを受信し、誤って認証情報を提供することを防ぎます。
これはMcAfee ePolicy Orchestrator (McAfee ePO)内の Block and Allow List Policyにアクセスし、下のように URL を追加することによって行えます。
McAfee Endpoint Security 10.5製品ガイドはこちらです:
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/26000/PD26799/en_US/ens_1050_help_0-00_en-us.pdf
McAfee Security for Microsoft Exchange
McAfee Security for Microsoft Exchangeは、フィッシング詐欺メールの送信者の電子メールアドレスをブロックし、他の従業員への送付を防止します。この亜種は、ローカルユーザーアカウントを利用してフィッシング詐欺メールを送ります。McAfee Security for Microsoft Exchangeを使用し、これらのメールアドレスをブラックリストに載せることにより、悪意のあるメールが送信されないようにすることが可能です。
McAfee Security for Microsoft Exchange 8.6.0 製品ガイドはこちらです:
https://kc.mcafee.com/resources/sites/MCAFEE/content/live/PRODUCT_DOCUMENTATION/27000/PD27213/en_US/msme_860_pg_en-us.pdf
その他の対処方法
不審なURLはTrustedSource siteでチェックすることもできます。McAfeeがその不審なURLを把握し、すでに対策をとっているかどうか確認することができます。
悪意のあるURLを報告する方法について
ぜひ sites@mcafee.com までメールをお送りください。
フィッシング詐欺の詳細については、次のリンクをご参照ください:
Knowledge Center article: How to recognize and protect yourself from phishing
Blog: How to Spot Phishing Lures
Blog: Don’t get hooked – phishing email advice for your employees
※本ページの内容は、2018年10月23日(US時間)更新の以下のMcAfee Blogの内容です。
原文:New Wave of Browser Hijackers and How to Protect Your Environment
著者:Kyle Smith