McAfee Blog

ブラウザーハイジャッカーを用いたフィッシング詐欺と対処策

2018年10月29日 19時20分更新

文● McAfee

　最近、お客様から、ブラウザハイジャッカーにリダイレクトするフィッシング攻撃について報告をいただきました。分析の結果、攻撃者はテクニカルサポートを装い、エラーメッセージと電話番号を表示するなどしてユーザーを脅し、マルウェアに感染していると思わせ、必要のないテクニカルサポート代金を支払わせる、ということがわかりました。これは一般ユーザーにとっても、またビジネスがメールに大きく依存している現在の企業ユーザーにとっても、非常に深刻な問題です。皆さんご存知のように、多くの方々が被害に合っているフィッシング詐欺メールは、主要なセキュリティ侵害のひとつです。

報告のあったブラウザハイジャッカーを用いたフィッシング詐欺の例

このような詐欺による脅威を防御するには

報告のあったブラウザハイジャッカーを用いたフィッシング詐欺の例

　はじめに、以下の画像のような、「Click here to show this message（メッセージを表示するためボックスをクリックしてください）」と記載されたクリックを要求するメールが届きます。ユーザーがメッセージをクリックすると、ユーザー情報の入力を求める URL にリダイレクトされます。

　以下のスクリーンショットのように、メッセージの上にマウスを移動すると悪意のあるURLが現れます。フィッシング詐欺メールでは、これらのURLは短時間しか利用できず、頻繁に変更される傾向にあります。

　ユーザーは、下図のようなウェブサイトにリダイレクトされる可能性があります。本物のように見えるため、騙されて認証情報を提供してしまう場合もあります。

　スクリーンが全画面表示モードになってしまい、ユーザーがブラウザを終了することができなくなります。この点はランサムウェアと似ている点です。いくつかのランサムウェアの亜種でみられるようなオーディオ付きの場合もあります。タブまたはブラウザを終了できない場合は、Ctrl + Alt + Deleteを使用してタスクマネージャーを開き、ブラウザを見つけて終了させることが可能な場合もあります。

　下のスクリーンショットは、少し違う別の例です。

　このサイバー攻撃に使用されているすべてのドメインは、Namecheapから購入されています。また、このフィッシング攻撃を広めるために使用されているメールアカウントは、正当なアカウントを乗っ取ったものです。※顧客情報を含んでいるためメールのハッシュはご覧いただけません。

　各社から対応製品は提供されていますが、弊社の場合の対応策をご紹介します。

このような詐欺による脅威を防御するには

　メールに埋め込まれた悪意のあるHTMLは、「Phish-EmailFraud.icu」としてDATにカバーされており、現時点のDATのリストに含まれています。また、マカフィーサイトアドバイザー、McAfee Security for Microsoft Exchangeなどのマカフィー製品を組み合わせて使用することで、環境および従業員を護ることが可能です。

マカフィーサイトアドバイザー

　マカフィーサイトアドバイザーを使用すると、悪意のあるURLを集めブロックサイト・リストに追加するので、ユーザーがフィッシングメールを受信し、誤って認証情報を提供することを防ぎます。

　これはMcAfee ePolicy Orchestrator（McAfee ePO）内の Block and Allow List Policyにアクセスし、下のように URL を追加することによって行えます。

　McAfee Endpoint Security 10.5製品ガイドはこちらです。

McAfee Security for Microsoft Exchange

　McAfee Security for Microsoft Exchangeは、フィッシング詐欺メールの送信者の電子メールアドレスをブロックし、他の従業員への送付を防止します。この亜種は、ローカルユーザーアカウントを利用してフィッシング詐欺メールを送ります。McAfee Security for Microsoft Exchangeを使用し、これらのメールアドレスをブラックリストに載せることにより、悪意のあるメールが送信されないようにすることが可能です。

　McAfee Security for Microsoft Exchange 8.6.0 製品ガイドはこちらです。