「リンクを踏まなきゃいい」では済まないサポート詐欺、標的用に自動でカスタマイズするページなど、Vadeが2021年のフィッシングに関するレポートを公開：なりすましブランドの2位は「Microsoft」

Vade Secureは、2021年に発生したフィッシング攻撃に関するレポート「Phishers’ Favorites　2021年を振り返る」を発表した。そのデータや巧妙化した手口を幾つか紹介する。

[＠IT]

　フランスのセキュリティ企業Vade Secure（以下、Vade）は2022年3月4日、2021年に発生したフィッシング攻撃に関するレポート「Phishers’ Favorites　2021年を振り返る」を発表した。

企業ユーザーに対する巧妙なフィッシング攻撃

　2021年のフィッシング詐欺のなりすましブランドのトップは、全体の14％を占めたFacebook。2位は同13％のMicrosoftだった。以前の結果から順位が入れ替わっている。

フィッシングで最もなりすましの多いブランド20社（提供：Vade Secure）

　Vadeでは、2021年に18万4966件のフィッシングサイトを分析。その結果、「Microsoftユーザーに対する巧妙な攻撃が数多く見られた」としている。従来のMicrosoftのロゴやフィッシングリンクを使う攻撃とは異なり、最近では自動化機能を取り入れており、巧妙にターゲットを絞っている。Vadeは「企業ユーザーは平均的な消費者よりもセキュリティを意識しているので、並みのフィッシングメール以上のものが必要だと攻撃者は学んだ」としている。

　例えば、Vadeが2021年6月下旬に検出したMicrosoftユーザーに対するフィッシング攻撃では、企業のロゴと背景画像が「Microsoft 365」のフィッシングページに自動的にレンダリングされ、標的にした被害者にメールが到達したときのみ発動するように設計されていた。標的にしていないユーザーがフィッシングリンクをクリックした場合は、安全なWebページに誘導するようにしていた。

　具体的には、標的にした被害者のメールアドレスを使用してMicrosoftにAPIコールを送信することで、それを認証させる。攻撃者は被害者の身元を確認してから、被害者の企業IDのロゴと背景画像のHTTP POSTをリクエストする。次に、攻撃者は、その被害者に関連のある企業ロゴと企業IDの背景画像を用いてカスタマイズしたMicrosoft 365のログインページにその被害者をリダイレクトする。

結果ページを説明するためにVadeのブランドを用いた、自動カスタマイズフィッシングページの例（提供：Vade Secure）

コロナ禍に便乗

　攻撃者は、スポーツイベントや選挙など、人々の注目を集めているイベントも悪用しようとしている。コロナ禍も例外ではない。Vadeは2021年第2四半期に、企業のメールアカウントに向けたコロナ禍をテーマにしたメールを650万件検出。そのうち10％が悪意のあるものだった。また、2021年3月には、ワクチン関連の不正なメールを3日間で100万件検出した。

「リンクを踏まなきゃいい」では済まないサポート詐欺

　一方、2021年3月から4月にかけて、Vadeはテクニカルサポート詐欺の大きな波を検出したという。MicrosoftやMcAfee、Nortonをかたった偽のウイルス対策更新を請求する、100万件以上のテクニカルサポートメールを検出。これらには、他のフィッシングメールとは異なり、フィッシングサイトへのリンクは含まれず、サブスクリプションのキャンセルや更新のために電話するように促す電話番号が記載されていた。

　メールの目的は被害者に電話をさせること。会話の中で、リモートアクセスソフトウェア「AnyDesk」をインストールするよう説得するのだ。次に偽装スクリプトを使ってマルウェアに感染していることを被害者に納得させる。マルウェアを削除するには、被害者の個人情報を攻撃者に渡さなければならない。攻撃者は被害者のコンピュータに追加のソフトウェアをダウンロードさせることもできる。

巧妙化したフィッシング攻撃への4つの対抗手段

　Vadeでは、「フィッシング攻撃は今や日常茶飯事だ。迷惑メールフォルダに配信されようと、受信トレイに配信されようと攻撃は続く。ますます巧妙化されて、高度なフィルターとトレーニングを受けたユーザーの両方を回避する」と指摘する。

　Vadeでは、こうしたフィッシング攻撃から防御するための対抗手段として、ユーザートレーニング、AI（人工知能）を活用したフィッシング対策技術、自動的なインシデントレスポンス、マルチフェーズ攻撃対策の4項目を挙げている。