Check Point Software Technologiesは9月28日(米国時間)、「Phishing via Dropbox - Check Point Blog」において、Dropboxを使用したビジネスメール詐欺(BEC: Business Email Compromise)を確認したとして、注意を呼び掛けた。Dropboxのような正規サイトを使用してフィッシングメールを送る攻撃は、ビジネスメール詐欺フェーズ3(BEC 3.0)攻撃と呼ばれる。
Check Pointの研究者によると、今回の攻撃はDropboxから直接送られてくるメールから攻撃が始まるとされる。このメールはDropboxにドキュメントが存在することを通知する標準的なメールで、同様のメールは誰でも受信する可能性がある。
メールで通知されたファイルを取得するために記載されたボタンをクリックすると、正規のDropboxサイトが表示される。表示された正規のDropboxサイトの「Get Document」ボタンをクリックするとOneDriveに似たフィッシングサイトが表示され、サインインしようとすると認証情報が窃取される。Check PointによるとこのフィッシングサイトはDropboxとは関係ない外部のWebサイトとされる。
Check Pointはこれら攻撃を防ぐために、企業のセキュリティ担当者への推奨事項として以下を提案している。
- 多数のフィッシング指標を分析および識別できる人工知能(AI: Artificial Intelligence)を搭載したテクノロジを採用し、複雑な攻撃を事前に阻止する
- 文章やファイルのスキャン機能を含む包括的なセキュリティソリューションを導入する
- Webページのスキャンとエミュレートを実施できる堅牢なURL保護システムを導入する
Check Pointによると、このようなBEC 3.0攻撃はセキュリティソリューションによる検出が非常に困難で、脅威を特定して対処することも難しいとしている。このような脅威に対抗する手段として、Check Pointは教育の重要性を訴えている。
今回の攻撃においては、Dropboxにアクセスしている時点で攻撃を回避することは困難だが、外部のフィッシングサイトにアクセスした時点でURLを確認すれば被害を回避できると考えられる。今回の攻撃のようにBEC 3.0攻撃に対しては、認証情報を入力する前に現在アクセスしているURLを確認するよう社員を教育することで回避できる可能性が高く、企業においては同様の事例に対処できるように社員教育を行うことが望まれている。