チェック・ポイントの子会社Avanan、iCloudやGoogleドキュメントなどを悪用した新たなフィッシング手法で、2カ月間に4万件近くのフィッシング攻撃メール送信を確認

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2023年04月11日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
BEC攻撃は進化し、有名サービスを悪用する「フィッシング詐欺3.0」の時代に

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ: CHKP、以下チェック・ポイント）の子会社で、クラウドベースの電子メール向けセキュリティを提供するAvananは、iCloud、PayPal、Google ドキュメント、FedExなど、日常的に利用されている正規サービスを攻撃の送信に使うフィッシング攻撃の進化について警告しています。「フィッシング詐欺3.0」と名付けられたこのビジネスメール詐欺（BEC）攻撃の手法は、データ侵害やコードを必要とせず、無料のアカウントだけで人々の受信トレイに侵入できます。

有名企業になりすましたメールは過去2カ月間で3万件以上に
Avananのリサーチャーは、2023年2月から3月の2カ月間で、一般に知名度の高い合法の企業やサービスになりすましたメール攻撃を合計33,817件確認しました。最もなりすましが多いサービスはiCloudで、他にPayPal、Google ドキュメント、Microsoft SharePoint、FedEx、Intuit などが攻撃に利用されていました。

（上図）ビジネスメール詐欺（BEC）でなりすまされた企業・サービス：2023年2月 – 3月

Avananのスポークスパーソン、ジェレミー・フックス（Jeremy Fuchs）はBEC攻撃の進化について、次のように述べています。
「ビジネスメール詐欺（BEC）は、再び進化しています。従来のBEC攻撃は、企業内の権威ある人物や外部のパートナーに見せかけることに主眼を置いていました。その後、攻撃者たちの手法は、組織内部やパートナー組織のアカウントを侵害し、それを使って正規のメールスレッドに自分のアドレスを挿入し、あたかも自らが従業員であるかのように返信する手段に移行しました。現在私たちは、攻撃者が実際にある正規のサービスを利用して攻撃を行うという、まったく新しい攻撃手法を目の当たりにしています。このような手法の詐欺では、被害者は完全に合法のサービス（例えばPayPal、Google ドキュメント）からメールを受信し、その中に悪意あるサイトへのリンクが含まれています。私たちは、こうした新しいスタイルのサイバー攻撃を『フィッシング詐欺3.0（Phishing Scams 3.0）』と呼んでいます。注意しなければならないのは、これらのサービスやサイト自体には悪意も脆弱性もない点です。ハッカーたちはこれらのサービスの正当性を、被害者の受信トレイに侵入するために悪用しているのです。このような攻撃手法からの自衛手段として、2ファクタ認証の導入やメールフィルタを強くお勧めします」

事例1）Googleのサービスから標的ユーザーにコメントし、偽の送金依頼やURLクリックを促す例
この事例でハッカーに必要なのは無料でのGoogleアカウントの作成のみです。

下記画像では、ハッカーがGoogleスプレッドシートにコメントを追加しています。ファイルを作成して標的ユーザーにメンションし、メンションされたユーザーにはメールで通知が届きます。

（上画像）Googleスプレッドシートを悪用したフィッシング

（上画像訳）
「――（――@gmail.com）が以下のドキュメントのコメントであなたをメンションしました。
親愛なるシステムユーザー様
出金手続き依頼の再送
あなた宛に、口座からの出金依頼が届いていますが、まだ出金手続きされていないようです。7時間以内に出金手続きを行ってください。詳しくは、以下のリンク先をご覧ください：（URL）
よろしくお願いいたします」

このようなメールはGoogle Workspaceを利用しているエンドユーザーにとって、典型的なものです。

さらに、下記はGoogleドキュメントを利用した例です。

（上画像）Googleドキュメントを悪用したフィッシング

画像のGoogleドキュメントを使用したメッセージは、正規のドメインを使用することで、本物のGoogleから正当に送信されています。そのため「script.google.com」というURLは、セキュリティスキャンでも正規と判断されます。しかしこのURLは偽の仮想通貨サイトにリダイレクトしており、認証情報の窃取や窃盗、仮想通貨マイニングなどさまざまな被害の可能性があります。

事例2）PayPalのアカウント侵害を装い送金を促す例

（上画像訳）
「――があなたに送金リクエストを送信しました。
“あなたのPayPalアカウントに不正なアクセスが検出されました。この取引に心当たりがない場合は、取引のキャンセルと払い戻しのために、フリーダイアル+1(866)518-0983にお電話ください。そうでない場合、このPayPalアクティビティを受け取って2時間後に699.99ドルが請求されます”

事例3）Microsoft のサービスによるファイル共有を装い、偽のURLクリックを促す例

（上画像）Microsoft SharePointになりすました例

（上画像訳）
「――がファイルを共有しました
以下が、――によって共有されたファイルです。
ファイル名：タスクにアサインされています」

（上画像）SharePointでホストされたフィッシングのリンク

これまでに記録された全事例において、メールの送信元アドレスは完全に合法的に見え、かつ正規のアドレスを含んでいるため、メールを受信する一般のユーザーにとって検出や識別が非常に難しくなっています。

「フィッシング詐欺3.0」に備えるためには
巧妙化し続けるBEC攻撃に備えるには、下記のような取り組みが有効です：

フィッシング対策専用ソリューションの利用
従業員向けの教育とトレーニングの実施
職務の分離
外部からのメールに対するラベル付け

2023年4月20日（木）14:00からオンライン開催する「CPX Japan Online < https://eventbase.cloud/cpx-japan/lp > 」では、Avananを採用したサンフランシスコ市保健局にご登壇いただき、Eメールセキュリティ事例対談を配信します。
そのほかにも当イベントでは、チェック・ポイントが今年発表した新製品や、最新のサイバー攻撃の動向をお伝えいたします。
参加登録や詳細なアジェンダはこちらからご覧ください < https://eventbase.cloud/cpx-japan/lp > 。

Avananについて
Avananは2015年の設立以来、特許登録済みのインライン保護と革新的な機会学習を通じ、最先端の電子メール向けセキュリティを定義してきました。Avananは、継続的にイノベーションを起こすことに加え、電子メールとコラボレーションスイート向けセキュリティの未来を定義することをビジョンとしています。5,000以上の顧客がAvananのテクノロジーを利用しており、米調査会社Gartnerなどが、Avananを電子メール向けセキュリティ分野のリーダーに位置付けています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud に保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
Twitter: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityの各ソリューションはマルウェアやランサムウェアを含むあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共団体を守ります。Infinityは、企業環境に妥協のないセキュリティを提供し第5世代の脅威防御を実現する4つの柱で構成されています。リモートユーザー向けのCheck Point Harmony、クラウドを自動的に保護するCheck Point CloudGuard、ネットワーク境界を保護するCheck Point Quantum、そして防止優先のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは10万を超えるあらゆる規模の組織を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・Twitter: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp