「迷惑メールフィルター」を装った詐欺メールに要注意!ログイン情報を狙う手口が進化中
最近、「メール配信通知」を装ったフィッシング詐欺が増えているので注意してください。 手口は巧妙で、あなたの会社の「スパムフィルター(迷惑メール隔離機能)」からの通知であるかのように見せかけてきます。
目的は、あなたを偽サイトに誘導し、メールやクラウドストレージのログイン情報を盗み出すことです。
どんなメールが届くの?
「セキュリティシステムのアップグレードに伴い、あなた宛のメールがいくつか保留されています。今すぐ受信トレイに移動できますよ」といった内容で騙してきます。
実際のメールのイメージ:
件名:メール配信レポート:保留中のメッセージ
最近、セキュリティシステムを更新したため、受信トレイに届いていない保留メッセージがあります。
配信状況レポート 対象アドレス: info@△△.com
ステータス: [保留中] 件名: [怪しまれないような、よくある件名]
[ 受信トレイへ移動する (ボタン) ]
※注意: 確認メールを受け取ってから1〜2時間以内に配信されます。もしこのメールが迷惑メールフォルダに入っていたら、受信トレイに移動させてください。
この「受信トレイへ移動」ボタンや「登録解除」リンクを押すと、有名なサイト(CBS Sportsなど)のリダイレクト機能を悪用して、最終的にログイン情報を盗むための偽サイトへ飛ばされます。
ここが怖い!最新の手口
セキュリティ研究チーム「Unit42」も警告していますが、Malwarebytesが調査したところ、この攻撃はさらに進化していることがわかりました。
- リンクに仕掛けがある メール内のリンクには、あなたのメールアドレスが暗号化(Base64)されて埋め込まれています。
- 本物っぽいログイン画面が出る リンク先に飛ぶと、すでにあなたの会社名やドメインが入った状態の偽ログイン画面が表示されます。「自分専用の画面だ」と信じ込ませるためです。
- 入力した瞬間、裏で盗まれている(WebSocketの悪用) ここが一番厄介な点です。従来のフィッシングと違い、「WebSocket(ウェブソケット)」という技術が使われています。
WebSocketって何?なぜ危険?
WebSocketは、ブラウザとサーバーを「電話」のように常につなぎっぱなしにする技術です。
- リアルタイムで情報が漏れる あなたが偽サイトでパスワードをキーボードで打っているその瞬間、リアルタイムで犯人側に文字が送信されています。送信ボタンを押す前でも漏れている可能性があります。
- 2段階認証も突破される リアルタイムでつながっているため、犯人は即座に「2段階認証コードを入力してください」という画面を出し、あなたがスマホで確認したコードを入力させ、それも盗み取ろうとします。
被害に遭わないために
もし情報を入力してしまうと、犯人は一瞬であなたのメールアカウントを乗っ取り、クラウドのファイルを盗み見たり、他のサービスのパスワードをリセットしたりと、やりたい放題できてしまいます。
「保留中のメールがあります」という通知が来たら、まずは疑ってください。 ボタンをすぐに押さず、URLを確認したり、社内の管理者に問い合わせるのが安全です。
