Proofpointは8月9日(米国時間)、「Cloud Account Takeover Campaign Leveraging EvilProxy Targets Top-Level Executives at over 100 Global Organizations |Proofpoint US」において、100を超えるグローバル組織の経営陣をターゲットとするクラウドアカウントの乗っ取りキャンペーンが急増していると報じた。このキャンペーンではEvilProxyと呼ばれるフィッシングツールが使用されており、多要素認証(MFA: Multi-Factor Authentication)で保護された認証情報を窃取できるという。

  • Cloud Account Takeover Campaign Leveraging EvilProxy Targets Top-Level Executives at over 100 Global Organizations |Proofpoint US

    Cloud Account Takeover Campaign Leveraging EvilProxy Targets Top-Level Executives at over 100 Global Organizations |Proofpoint US

EvilProxyはフィッシング・アズ・ア・サービス(PhaaS: Phishing-as-a-Service)にて提供されるフィッシングツールとされる。フィッシングツールの開発に必要な技能を持ち合わせていない攻撃者でも、これらツールを購入するだけでさまざまなクラウドアカウントの乗っ取りキャンペーンが実行可能で、これが脅威の急拡大の原因の一つとなっているとみられる。

Proofpointの研究者によると、このEvilProxyを使ったキャンペーンでは、初めにDocuSign、Adobe Sign、Concurなどの信頼できるサービスを装ったフィッシングメールを送信し、ターゲットに悪意のあるリンクへアクセスさせる。このリンクは正規のyoutube[.]comなどを使用しており一見すると問題がないようにみえるが、他のサイトへリダイレクトされるだけでyoutubeなどのサービスが開かれるわけではない。

リダイレクト先はさまざまだが、最終的にEvilProxyのフィッシングサイトへ誘導される。このフィッシングサイトはリバースプロキシとして動作し、ユーザーに正規のクラウドアカウントのログインページを表示する。ユーザーがログインに成功した場合、攻撃者は認証情報とクッキーを取得できており、多要素認証をバイパスしてクラウドサービスに侵入できる。攻撃者は侵入後、クラウドサービスに独自の多要素認証方式を追加し、永続的なアクセスを確立するとされる。

Proofpointの調査では、攻撃者はこのキャンペーンで侵入に成功したアカウントのうち、VIPターゲットに絞って侵入を行い、価値の低いユーザーを無視していたことがわかっている。これより、攻撃者が他の情報源から取得した情報をもとにターゲットを選択していた可能性があると指摘されている。

Proofpointはこの脅威から組織を守るため防衛策として、以下を提案している。

  • 悪意のあるメールを監視、ブロックするために、効果的なビジネスメール詐欺(BEC: Business Email Compromise)防止ソリューションを導入する
  • アカウント乗っ取り(ATO: Account Takeover)および、クラウド環境の機密情報への不正アクセスを検出するソリューションを導入する。被害を正確かつタイムリーに検出可能で自動修復機能があるものを採用し、脅威アクタの滞在時間と被害を軽減する
  • 悪意のあるメールに埋め込まれたリンクによって開始されるセッションを隔離できるWebセキュリティ製品を導入する
  • FIDO(Fast IDentity Online)技術を使用した物理的セキュリティキーの採用を検討する

この脅威はフィッシングメールの送信者、リンクアドレスおよび表示されるログイン画面の運営サイトがすべて異なっていることから、明らかに不審であり、慎重にメールを観察することで脅威を回避できる可能性がある。被害を軽減するために上記の防衛策に加え、企業の経営陣を含めすべてのユーザーにフィッシングメール対策の教育をおこなうことも望まれている。