ニュース

Dropboxを装って認証情報をだまし取る「二段階式スピアフィッシング」、巧妙な手口をカスペルスキーが説明

 株式会社カスペルスキーは5月23日、オンラインストレージサービス「Dropbox」をかたり企業の認証情報を盗むフィッシング詐欺に関して、同社のブログで手口を紹介し、注意を呼び掛けた。

 近日、多段階式のフィッシング詐欺が増えているという。今回紹介されている事例は、実在する企業とDropboxをかたるメールがあわせて2通届き、受信者をDropboxを装うウェブサイトにアクセスさせて、企業の認証情報を詐取する。

受信側で見抜くことは困難、2つのメールでフィッシングサイトに誘導

 はじめに、実在する監査法人からと思われるメールが届く。内容は、「監査済み財務諸表を送付しようとしたが、ファイルサイズが大きく添付できなかったため、Dropboxにアップロードした」というもの。

 メールアドレスはその監査法人のメールサーバーに実在するアドレスから送信されているため、受信者側は気づくことが難しいという。

 さらに続けて、Dropboxをかたるメールが届く。これは、「先ほど届いたメールの送信主とされる監査法人が「監査済み財務諸表」というファイルを共有したため、ファイルに署名するように」という内容だ。このメールにはDropboxの正規のウェブサイトのリンクが含まれているため、受信側がこのメールがフィッシングサイトにつながるとは考えにくい。

 共有されたファイルを見ようとして、Dropboxをかたるメールの「Open file」をクリックすると、正規のDropboxのウェブサイトにアクセスし、文書とともに「企業の認証情報を使って、認証するように」という趣旨のメッセージとボタンのポップアップが表示される。ここでボタンをクリックし、表示されたフォームにログイン認証を入力してしまうと、情報が窃取される。

 実は、このポップアップが表示された画面は、Dropboxのユーザーインターフェースだと誤解させるよう加工された画像。PDFとしてDropbox上で共有されており、「Open file」をクリックしてアクセスしたことにより、Dropbox上のプレビュー機能で表示されたものだ。

 ポップアップしたボタンに見えるものもPDFの一部であり、そこ(実際にはPDF全体)がリンクになっていて、中間サイトでのリダイレクトを通して、ログイン情報を窃取するためのフォームにアクセスしてしまう、というわけだ。

 カスペルスキーでは、この手口を「二段階式のDropboxスピアフィッシング詐欺」と読んでいる。監査法人と思われる相手からのメールも、Dropboxからのメールも、正規のメールアドレス、正規のURLであるため、そこでフィッシングだと見抜くことは難しい。

 メール受信者への助言として、カスペルスキーは、「すべての従業員は、業務用の認証情報は明らかに組織のものであるサイトにのみ入力することを忘れてはなりません」と述べている。Dropboxのリンクからアクセスしたウェブサイトで自社用のログイン情報を入力してはならず、ブックマークなどの安全なアクセス元から開いた自社サイト(あるいは自社用のサービス)でのみ入力するべきである、ということだ。

メールサーバーの保護など、企業全体で対策を

 企業に向けては、複数層で情報セキュリティ対策を強化するよう呼びかけている。具体的には、「メールサーバーを保護すること」「インターネットに面した全ての業務用デバイスに、アンチフィッシングテクノロジーを備えたセキュリティソリューションをインストールすること」としている。