コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に
今回は「コロナ後のオフィスに戻った従業員をハッカーが「おかえりなさい」フィッシングの標的に」についてご紹介します。
関連ワード (オフィス、ハッカー、フィッシング、新型コロナウイルス等) についても参考にしながら、ぜひ本記事について議論していってくださいね。
本記事は、TechCrunch様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。
新型コロナウイルス関連の規制が解除され、従業員がオフィスに戻り始めたことで、ハッカーたちは活動の転換を迫られている。この18カ月間、詐欺師の主なターゲットはパンデミックの影響で在宅勤務に移行したリモートワーカーだったが、今度は物理的なオフィスに戻り始めたスタッフを標的にした新たなフィッシングキャンペーンが展開されている。
フィッシングメール防御ソリューションを専門とするCofenseが確認したこの電子メールベースのフィッシングキャンペーンは、CIO(最高情報責任者)からの職場復帰歓迎のメールを装って従業員をターゲットにする。
メールのヘッダーには企業の公式ロゴが入っており、CIOになりすました署名も入っているため、十分に正当なものに見える。メッセージの大部分は、パンデミックに関連して会社が取っている新しい予防措置や業務の変更について説明しているという。
従業員がこのメールに騙されてしまった場合、企業ブランドの入った文書が2つ掲載されたMicrosoft SharePointページに見えるリンクにリダイレクトされることになる。Cofenseのフィッシング防御センターの脅威アナリストであるDylan Main(ディラン・メイン)氏はこう述べている。「これらのドキュメントを操作すると、これらが真正ではなく、アカウント情報を取得するためのフィッシングの仕組みであることがわかります」。
しかし、被害者がいずれかの文書にアクセスしようとすると、ログインパネルが表示され、ファイルにアクセスするためのログイン認証情報を入力するよう求められる。
「これは、Microsoft(マイクロソフト)のログイン画面を偽装して認証パネルを開くという、Microsoftフィッシングページではあまり見られない手法です」とメイン氏は語る。「ファイルが本物であるかのように見せかけ、別のログインページにリダイレクトしないことで、ユーザーは更新内容を見るために認証情報を提供する可能性が高くなるかもしれません」。
ハッカーが採用しているもう1つの手法は、有効な認証情報が入力されているにも関わらずエラーを偽装することだ。パネルにログイン情報を入力すると、最初の数回は、次のようなエラーメッセージが表示される。「アカウントまたはパスワードが正しくありません」。
「ログイン情報を何度か入力すると、従業員は実際のMicrosoftのページにリダイレクトされます」とメイン氏はいう。「これにより、ログイン情報が正しく、従業員がOneDriveドキュメントにアクセスできたように見えます。実際には、攻撃者はこの時点でアカウント所有者の情報に完全にアクセスできるようになっています」。
これは職場復帰する従業員をターゲットにした最初のキャンペーンの1つだが(Check Pointの研究者らは2020年、別のキャンペーンを発見している)、これが最後になるとは考えにくい。PwCの最近の調査によると、例えばGoogle(グーグル)とMicrosoftの両社は社員をオフィスのキュービクルに戻し始めており、大多数の経営者は、2021年7月までに少なくとも50%の従業員がオフィスに戻って仕事をするようになると予想している。
Cofenseの戦略アドバイザーであるTonia Dudley(トニア・ダドリー)氏は、TechCrunchに次のように述べている。「脅威アクターはパンデミック期間中(雇用形態)トレンドに沿って活動しており、今後数カ月間は、職場復帰をテーマにした攻撃を仕かけてくることが予想されます。また、リモートワーカーも引き続き対象となるでしょう。雇用者がスタッフをオフィスに戻し始める一方で、今後はハイブリッドな仕事モデルも増えてくると思われます。どちらのグループも、フィッシング攻撃のターゲットになっていくでしょう」。
攻撃者は概して、グローバル環境に適応してそれを利用する。人口の大多数がリモート接続による仕事に移行したのにともない、リモートログインの認証情報を悪用しようとする攻撃が増えたように、オンプレミスのネットワークやオフィスワーカーを標的とした攻撃の数は、今後数カ月の間に増加していくと思われる。
関連記事
・グーグルが一部の従業員をオフィスに戻す計画を発表
・【コラム】パブリッククラウドにおけるセキュリティ課題の解決に向けて
・【コラム】スタートアップにとって信頼できるセキュリティとはコンプライアンス基準以上のものだ
画像クレジット:Hailshadow / Getty Images
【原文】
With COVID-19 restrictions lifting and employees starting to make their way back into offices, hackers are being forced to change tack. While remote workers have been scammers’ main target for the past 18 months due to the mass shift to home working necessitated by the pandemic, a new phishing campaign is attempting to exploit those who have started to return to the physical workplace.
The email-based campaign, observed by Cofense, is targeting employees with emails purporting to come from their CIO welcoming them back into offices.
The email looks legitimate enough, sporting the company’s official logo in the header, as well as being signed spoofing the CIO. The bulk of the message outlines the new precautions and changes to business operations the company is taking relative to the pandemic.
If an employee were to be fooled by the email, they would be redirected to what appears to be a Microsoft SharePoint page hosting two company-branded documents. “When interacting with these documents, it becomes apparent that they are not authentic and instead are phishing mechanisms to garner account credentials,” explains Dylan Main, threat analyst at Cofense’s Phishing Defense Center.
However, if a victim decides to interact with either document, a login panel appears and prompts the recipient to provide login credentials to access the files.
“This is uncommon among most Microsoft phishing pages where the tactic of spoofing the Microsoft login screen opens an authenticator panel,” Main continued. “By giving the files the appearance of being real and not redirecting to another login page, the user may be more likely to supply their credentials in order to view the updates.”
Another technique the hackers are employing is the use of fake validated credentials. The first few times login information is entered into the panel, the result will be the error message that states: “Your account or password is incorrect.”
“After entering login information a few times, the employee will be redirected to an actual Microsoft page,” Main says. “This gives the appearance that the login information was correct, and the employee now has access to the OneDrive documents. In reality, the threat actor now has full access to the account owner’s information.”
While this is one of the first campaigns that’s been observed targeting employees returning to the workplace (Check Point researchers uncovered another last year), it’s unlikely to be the last. Both Google and Microsoft, for example, have started welcoming staff back to office cubicles, and the majority of executives expect that at least 50% of employees will be back working in the office by July, according to a recent PwC study.
“We saw threat actors follow the trends throughout the pandemic, and we expect they are likely to leverage themes of returning to work in their attacks in the coming months,” Tonia Dudley, a strategic advisor at Cofense, told TechCrunch. “We can expect remote workers to continue to be targeted as well. While employers begin to bring staff back to the office, it’s likely we’ll see a hybrid model of work moving forward. Both groups will be targets for phishing attacks.”
Threat actors typically adapt to exploit the global environment. Just as the shift to mass working over remote connections led to an increase in the number of attacks attempting to exploit remote login credentials, it’s likely the number of attacks targeting on-premise networks and office-based workers will continue to grow over the coming months.
(文:Carly Page、翻訳:Aya Nakazato)
新型コロナウイルス 感染者数やNHK最新ニュース|NHK特設 …
【NHK】新型コロナウイルスの日本国内の感染者数や最新ニュースはこちらです。初期症状や感染予防の情報、ワクチン・治療薬・PCR検査に関する最新情報、補助金・助成金などの支援情報、学校関連の情報、政府や各都道府県の対応、分科会の見解や提言、番組のお知らせなどをまとめています。
新型コロナウイルス感染症について|厚生労働省 - mhlw.go.jp
2020年10月29日、新型コロナウイルス感染症に関する現在の状況とこれまでに得られた科学的知見について、新たに10の知識としてとりまとめました。 新型コロナウイルス感染症の発生をさらに抑えるためには、1人ひとりが最新の知識を身につけて正しく対策を行っていただくことが何よりも重要です。
新型コロナウイルス 都道府県別の感染者数・感染者マッ …
【NHK】新型コロナウイルスの特設サイト。国内の感染者数について、都道府県別の詳しいデータです。
新型コロナウイルス感染症に備えて ~一人ひとりができる対策 ...
新型コロナウイルスに関連した感染症対策。過剰に心配することなく、マスクの着用や手洗いの徹底などの通常の感染症対策に努めていただくようお願いいたします。
新型コロナウイルスのニュース一覧 | NHKニュース
【NHK】さまざまな分野のニュースをいち早く、正確にお伝えするNHKニュース。NHKの取材網が日本の、そして世界の出来事をとらえ、世の中の「今」を伝えます。
新型コロナウイルスに関するQ&A(一般の方向け)|厚生労働省
新型コロナウイルス感染症は、一般的な状況における感染経路の中心は飛沫感染及び接触感染ですが、閉鎖空間において近距離で多くの人と会話する等の一定の環境下であれば、咳やくしゃみ等の症状がなくても感染を拡大させるリスク
新型コロナウイルス - Wikipedia
新型コロナウイルス (しんがたコロナウイルス、 英語: Novel coronavirus, nCoV )とは、 コロナウイルス科 オルトコロナウイルス亜科 に属する ウイルス のうち、医学上、公衆衛生上重要なものについて名付けられる暫定的名称である 。. 特に ヒトコロナウイルス において多用される。. (ヒト)コロナウイルスは人類に対する 風土病 と考えられており、 風邪 (普通 ...
新型コロナウイルス感染症の症状・知っておくべき注意点 [感 …
【医師が解説】「コロナウイルス」はよくあるウイルスが原因の風邪の10~15%を占めるありふれたものです。しかし突然変異すると「MERS」「SARS」のような恐ろしい感染症になることがあります。そもそもコロナウイルスとはどのようなウイルスか、また、現在騒がれている新型コロナウイルス(COVID-19)で報告されている症状はどのようなものか解説します。
新型コロナウイルス感染症 (2019年) - Wikipedia
2019年に発生した 新型コロナウイルス感染症 (しんがたコロナウイルスかんせんしょう、国際正式名称: COVID-19 )は、 SARSコロナウイルス2 (SARS-CoV-2) が ヒト に 感染 することによって発症する 気道感染症 ( ウイルス 性の広義の 感冒 の一種 )である 。
1からわかる!新型コロナ(1)ウイルスの正体は?変異ウイル …
【NHKニュース】 いったいどんなウイルスなのか、変異ウイルスとは何なのか、どこまでわかっているのか、気になることを1から聞きました。