FortiGuard Labs 脅威リサーチ
安全なはずのPayPalがフィッシングの標的に
我々はCISOとして常にフィッシング攻撃を監視しており、今回の事例にはただちに警戒感を強めました。最も明白な点は、この支払い請求を受け取る理由がないということです。PayPalで会社のメールアドレスを使うことはありませんし、宛先の「Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com」は管理しているどのアドレスでもありません。
このような場合、通常であれば「報告して終わり」にするのですが、少々興味をそそられました。フィッシングメールを目にするたびに、いつも「自分の母親ならどうするだろう?」と考えます。母に指南したすべての方法に基づいて、対処方法をご紹介します。
明白なフィッシングの証拠を探す
まず、送信元アドレスは有効であり、なりすましではなさそうです。
URLも本物のようです。
この時点では、これは正規のEメールのように見えます。少なくとも、私の母ならそう考えるでしよう。では、何が起きているのでしょうか?
本当の意図を見抜く
正真正銘のEメールであれば、問題が起きるはずはありません。しかし、このメールには裏があるのです。リンクをクリックすると、PayPalのログインページにリダイレクトされ、支払い請求が表示されます。ここでパニックに陥ると、自身のアカウント情報を使ってログインしそうになりますが、それは非常に危険です。PayPalアカウントのアドレスは、あなたがメールを受信したアドレスではなく、宛先アドレスにリンクされています。この場合、PayPalはBillingdepartments1[@]gkjyryfjy876.onmicrosoft.comに支払い請求を送信したと考えています。
仕組みを知る
この詐欺師は、3ヵ月間無料のMS365テストドメインを登録し、下記のように被害者宛てメールが含まれた配信リスト(Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com)を作成したようです。
PayPal Webポータル側は、支払い請求を行い、この配信リストをアドレスとして追加するだけです。
そして、標的とされた被害者にこの支払い請求が配信されます。ただし、Microsoft365 SRS(送信者書き換えスキーム)によって、送信者はbounces+SRS=onDJv=S6[@]5ln7g7.onmicrosoft.comなどに書き換えられます。これにより、送信元アドレスはSPF / DKIM / DMARCチェックを通過してしまいます。
混乱した被害者が事態を確認するためログインすると、詐欺師のアカウント(Billingdepartments1[@]gkjyryfjy876.onmicrosoft.com)が被害者のアカウントにリンクされます。このように巧妙な手口によって、詐欺師は被害者のPayPalアカウントを乗っ取ることができます。その巧妙さは、実のところ、PayPalによるフィッシング確認の指示さえもすり抜けてしまうほどです。
自衛策を考える
この攻撃の特徴は、従来のフィッシング手法を使用しない点にあります。EメールやURLをはじめ、すべてが完全に正当なものです。これに対し、最良の対策はヒューマンファイアウォール、つまり、一方的に配信されたEメールに気づき、それがいかに本物らしく見えても警戒するよう訓練された人員を配置することです。そのためには、当然のことながら、従業員は自分自身と組織の安全を守るために、このような脅威を見極めるためのトレーニングを受ける必要があります。
FortiMailによる防御
受信したEメールは、ほぼ完全に正当なものです。しかし、DLP規則を作成し、このメールが配信リストを経由して送信されたことを示す複数の条件を調べることは可能です。そうしたケースを識別するには、以下のような規則が有効です。
