新型コロナのパンデミックは、急速に社会をリモート通信に依存するようにシフトさせました。そしてサイバー犯罪者は、有名な企業を装い、モバイルのSMSテキストメッセージフィッシング(スミッシング)攻撃を使った猛攻撃で私たちの新しいデジタル社会を侵害しています。プルーフポイントは、北米のモバイルメッセージの80%以上を処理しており、弊社の調べによると、2020年第2四半期と比較して2020年第3四半期のモバイルフィッシングメッセージは328%増加しました。全体として、2020年第3四半期に偽装に使われたブランドには、有名な金融機関、テクノロジー企業、 コンテンツプロバイダーが含まれています(以下を参照)。報告されたモバイルメッセージの36%は、コミュニケーション・プラットフォーム・アズ・ア・サービス(CPaaS:Communication Platform as a Service)プロバイダーからも発信されており、攻撃者による自動メッセージングプログラムへの依存度が高まっていることを示しています。
昨今、モバイルフィッシング攻撃は急増しており、プルーフポイントによるState of the Phish Reportでも報告している通り、組織の84%がモバイルのフィッシング攻撃を受けています。FBIはフィッシングやその他の詐欺による損失が2019年には、 にのぼると報告しています。モバイルフィッシングの増加は、いくつかの要因に起因する可能性があります。たとえば、消費者がフィッシングの脅威について懸念を持ち続けているため、携帯電話会社や携帯電話の開発者は、フィッシングを含むモバイルメッセージングの不正使用を簡単に報告できるように取り組んでいることがフィッシング攻撃報告の増加に影響しています。また、モバイルフィッシングレポートは、金融ブランドだけでなく、さまざまな市場セグメントにわたる有名なブランド、特にパンデミック時に消費者が頻繁に注目するブランドを含むことも確認しています。さらに、サイバー犯罪者は、モバイルの不正使用検出システムを回避するために、ソーシャルエンジニアリング手法を用いて、既知のブランドを悪用してユーザーの資格情報を窃取し収集する機能を拡張し続けています。
フィッシングによく使われる企業と例
Fig 1: Top Brands Featured in Mobile Messages, September 2020
Fig 2: June-August 2020 Mobile Phishing Report
モバイルメッセージを悪用したスミッシング攻撃の仕組み
Netflixは世界中で数千万人が使う人気のストリーミングサービスです。有名であるがゆえに、攻撃者はユーザーのデータを侵害し、利益を得るための機会として悪用します。
Netflixを例に、攻撃者がスミッシングキャンペーンでNetflixのような有名なブランドを使用して、ユーザーの認証情報を窃取し侵害する方法を見てみましょう。次のタイムラインは、最近のSMSフィッシングキャンペーンを示しています。
- 4:20pm PDT (太平洋標準時) -攻撃者は新しく作成されたWebサイトを使用して、少ない量でのフィッシングキャンペーンを開始。 以下が攻撃者のメッセージの例です:
We've had an issue with your current billing details, Please update your information to avoid any service interruption. netflix.usa-eng.org (現在、請求に問題があります。サービスが停止しないよう情報を更新してください。 netflix.usa-eng.org)
- 4:21pm PDT - Proofpoint Cloudmark 分析システムは、フィッシングに含まれるドメインの自動調査を実行し、いくつかの疑わしい特性を特定。ドメインは即座に”Suspicious / 疑わしい”としてマークされています。
- 4:23pm PDT - Cloudmarkは、疑わしい送信者からのメッセージのブロックを開始。
- 4:25pm PDT - 一部のユーザーがスパム分類に異議を唱えたため、少数のメッセージグループが許可される。
- 4:26pm PDT - この疑わしい送信者からのすべてのメッセージがブロックされる。
- 4:26pm から 7:50pm - Cloudmarkシステムは、何千もの追加のフィッシングメッセージを検出したが、それらはすべて、ユーザーデバイスに到達する前に完全にブロック。
Fig 4: Timeline demonstrating automated SMS blocking of malicious messages
攻撃者は上記のタイムラインにリストされているドメインによく似た類似ドメインを戦術として使用します。これらのドメイン名は、多くの場合、正規の会社のドメイン名に似て作られており、攻撃者が制御するサイトにユーザーを誘導するものです。 ドメイン名を似せることにより、攻撃者は不正なサイトが正当なものであるように見せかけようとします。
以下に示すWebサイトのWhois調査によると、スパムキャンペーンが発生したのと同日にドメインが作成されていることが分かります。 ユーザーの入力内容を収集できるWebサイトを迅速に購入してセットアップできるのは、攻撃者がプロセスを迅速に自動化するスクリプトとツールを用いているためです。 これにより、攻撃者はわずかな時間と労力で最大の効果を得るためにブランドを偽装することができます。
Fig 5: Whois report for Netflix.usa-eng.org
まとめ
現在のパンデミックの影響を受けた困難な時期に、メッセージングの価値はかつてないほど重要になり、正当なメッセージを受け取ることは、私たちの生活とコミュニケーションの鍵となっています。しかし、モバイルメッセージングは、攻撃者にとって、消費者や従業員を攻撃するための魅力的なベクトルとなっています。携帯電話会社と携帯電話の開発者が、携帯電話の不正使用の報告を容易にするために進歩を遂げているのを見るのは心強いことです。
攻撃キャンペーンの進展に合わせて、メッセージを迅速に識別してブロックする機能を持つことは、個人および組織にとって非常に重要になってきています。Proofpointのモバイルメッセージング用Cloudmarkセキュリティプラットフォームは、フィッシング、スパム、および悪意のあるモバイルメッセージに対するリアルタイムの自動保護を提供することにより、悪意のあるメッセージからユーザーを保護するための重要なキャリアグレードのモバイルメッセージングセキュリティを提供します。安全なモバイルメッセージングについての詳細は Cloudmark Platform for Mobile をご覧ください。