誰もがフィッシングメールの受信者になったことがあります。ほとんどの人がスピアフィッシング攻撃の標的になっています。しかし、エンドユーザとメールセキュリティソリューションの両方ともフィッシングを見抜く力がついてきたため、脅威アクターは戦術を変えることを余儀なくされました。おそらく最も知名度が低いのは「最初の接触」メールです。
SF映画では、エイリアンは無害な探検訪問中に最初の接触をし、本格的に侵入する前に地球人を評価します。これは、スピアフィッシングでも同じ概念です。脅威アクターは、本格的な攻撃に入る前に、ターゲットとの接触を正当なものにしたいと考えます。
最初の接触スピアフィッシング攻撃とは何か?
最初の接触メールには、悪意のあるコンテンツは含まれていません。つまり、フォローすべきリンクやダウンロードすべき添付ファイルはありません。それらのメールは手短で要点がはっきりしていることが多く、「手が空いていますか?」「今、オフィスにいますか?」または「プロジェクトを手伝ってくれませんか?」など、受信者の注意を引き、返信を促すような短い質問を伴います。ユーザは返信すると、何らかの要求があることを予測します。つまり、攻撃の準備は万端ということです。
最初の接触スピアフィッシングの目的は、ユーザがメールに返信するように仕向けて、そのメールアドレスがメールセキュリティフィルタによってホワイトリストに登録されるようにすることです。ユーザが返信することで、そのやりとりは効果的に正当化され、さらにコミュニケーションを続ける道が切り拓かれます。
最初の接触スピアフィッシングの例
最初の接触を利用した最近のスピアフィッシング攻撃では、脅威アクターは新型コロナウィルス感染症をえさにしていました。ハッカーは、著名な出版物のジャーナリストになりすまして、医学や感染症の研究者たちを標的にしました。
UCLAのニュースによると、「最初の接触後、サイバー犯罪者はそれに反応した人とのやり取りを開始しているようです。ハッカーは電話での会話をセッティングすることもありますが、最終的には、Microsoft Teamsに似た悪意のあるリンクを送信します。ユーザがリンクを受け入れると、悪意のあるコードがユーザのシステムで実行されるようになっています。その結果、システムとユーザの個人情報と財務情報が危険にさらされます」
ハッカーがMicrosoftを利用したり、Microsoftになりすましたりする可能性があることは、驚くことではありません。Vadeの調査によると、2021年第4四半期に、米国のMicrosoft 365のテナントを標的にしたスピアフィッシングメールの56%が最初の接触スピアフィッシングとして分類されたのに対し、CEO詐欺として分類されたのは9.4%でした。第4四半期のヨーロッパのMicrosoft 365のテナントに関しては、スピアフィッシングメールの63%が最初の接触スピアフィッシングとして分類されたのに対し、CEO詐欺として分類されたのはわずか6.2%でした。
Microsoftのクラウド製品は企業内で広く使用されているため、そのユーザは脅威アクターの標的になりやすくなっています。Microsoftのクラウド環境内で管理者の誰かのアドレスをスプーフィングすることで、恰好の被害者を簡単に見つけられるようになります。最初の接触スピアフィッシング攻撃は、一見スパムのようには見えないうえに、悪意のあるリンクや添付ファイルが含まれていないため、侵入経路になります。
最初の接触スピアフィッシングは、脅威アクターにとって最も有用なユーザを標的にするのにも役立ちます。多くの場合、最初の接触メールは、ハッカーが理想的な連絡先を探すための探索的な演習です。たとえば、ハッカーは、電信送金や請求書の支払いを許可できる従業員、あるいは給与振り込みのための銀行口座や銀行コードを変更できる適切な人事担当者を探している可能性があります。
この種類の詐欺(完全な攻撃をしかける前にユーザに働きかけるやり方)は、信頼の厚さが拠り所になっているため、うまくいきます。受信者は送信者を信頼しています。その通信内容は普段と変わりないため、ユーザは信頼して返事を送信します。
その信頼をよそに、企業のメール、特にクラウドベースのプラットフォームのメールはスプーフィングが容易であり、「参入障壁が非常に低い」とCRNは指摘しています。1日に数十件のメールを受信する人は誰でも、各メールにさっと目を通してからそれに対応するかどうかを決めることを心得ています。その初期の接触メールに異常な点がなければ、ユーザは返信します。
脅威アクターにとって、それはたやすいことであり、ユーザが気づくのは決まって手遅れになってからです。ユーザは、最初の接触スピアフィッシングの認識を高めるためのユーザ認識トレーニングを提供されない限り、それらのメールに対応し続け、組織を危険にさらすことになります。
