Bleeping Computerは11月26日、「IKEA email systems hit by ongoing cyberattack」において、大手家具量販店の「IKEA」がメールシステムにおいてリプライチェーン攻撃に遭遇しており、対応に苦慮している様子だと伝えた。同社は従業員に対し、メールの受信ボックスを標的とした攻撃を受けていることを明かした上で、誰が送信したものかにかかわらずメールを開かないよう呼びかけているという。

メールシステムを狙うリプライチェーン攻撃は、正規のメールの返信を装って、悪意のある添付ファイルやフィッシングサイトへのURLなどを含んだメールを紛れ込ませるというもの。悪意のあるメールは、自分が実際にやりとりしていたメールの返信として送られてくるため、通常のフィッシングメールなどよりも誤って信頼してしまう可能性が高まる。

IKEAが従業員対して送信した警告には、Microsoft Outlookで受信したフィッシングメールのサンプルが含まれていたとのことだ。

  • イケアの従業員に送信されるフィッシングメールの例(出典:Bleeping Computer)

    イケアの従業員に送信されるフィッシングメールの例(出典:Bleeping Computer)

セキュリティの専門家は、最近になってMicrosoft Exchange ServerのProxyLogonおよびProxyShellの脆弱性を悪用してサーバに侵入し、組織内部や顧客に対してリプライチェーン攻撃を仕掛ける事例が増えていると指摘している。ただし、IKEAの被害が社内サーバの侵害による同様のものかどうかは、現時点では明らかにされていない。

Bleeping Computerでは、従業員宛てに送られた前述のフィッシングメールのサンプルを分析し、このメールが「Emotet」または「Qbot」といったマルウェアへの感染を狙ったものであることを特定したという。EmotetとQbotは、いずれもネットワークを介して自動的に感染を拡大するタイプのマルウェアであり、大規模なランサムウェア被害をもたらすことでも知られている。