DIME MAGAZINE
イーセットジャパンは、同社のセキュリティリサーチチームによる調査をもとに、サイバー攻撃グループ「SilverFox(シルバーフォックス)」の最新動向と攻撃手口についてまとめたレポートを公開した。
正規の人事や税務関連のメッセージに見えるよう巧妙に作られた、標的型スピアフィッシングメールを送信
同レポートによると、サイバー攻撃グループ「SilverFox」が、年度末の繁忙期につけ込み、日本の製造業をはじめとする企業を標的に、標的型スピアフィッシングキャンペーンを積極的に展開しているとのこと。
このグループは、現在進行中のキャンペーンにおいて、日本の年度末にあたる確定申告、財務報告、給与改定、人事異動の時期を巧みに利用し、正規の人事や税務関連のメッセージに見えるよう巧妙に作られた、標的型スピアフィッシングメールを送信。メールをより本物らしく見せるために、攻撃者は件名に標的企業の名前を直接含めることも多くあるという。
また、送信者欄には、標的企業の実在する従業員や、場合によってはCEOの名前が使用。Silver Foxは無差別にフィッシングメールを配信しているのではなく、送信前に各標的について事前調査を行なっていることは明らかであり、攻撃者は、受信者にとって見覚えがあり信頼しやすい名前を意図的に選んでいるため、受信者が悪意あるメールと実際の社内通知を見分けることがより困難になっているという。
そして、これらのメールには通常、悪意のある添付ファイル、または悪意のあるファイルへ誘導するリンクのいずれかが含まれているとのこと。ファイル名は、人事、財務、税務関連の文書のように見せかけており、これらの悪意のあるファイルを開くと、ValleyRATと呼ばれるリモートアクセスを可能にするトロイの木馬(RAT)が展開。ValleyRATが展開されると、攻撃者は感染したデバイスを遠隔操作できるようになり、機密情報の窃取、ユーザー操作の監視、標的環境での常駐化を可能にする。これにより攻撃者は、ネットワークにさらに深く侵入し、機密データを窃取したり、さらなる攻撃に向けた準備を行なったりすることが可能になるとしている。
なお、同レポートでは、攻撃を特定し防止する鍵となるポイントもまとめている。その内容は以下の通りとなる。
・給与変更、税務上の罰則、人事異動に関するメールを受け取った場合は、Teams、電話、正規の連絡先など必ず別の手段で確認して対応してください。一見通常業務の連絡のように見えても、同様に対応してください。
・送信者の名前に同僚が表示されている場合でも、メールアドレスが一致しているか確認してください。一致しない場合や見慣れないアドレスの場合は、不審なメールとして扱ってください。
・その連絡が、自社の通常の人事や財務プロセスに沿っているかを確認してください。
・文面が過度に形式的であったり、不自然であったり、社内で通常用いられるコミュニケーションと乖離がある場合は注意が必要です。攻撃者は日本語のネイティブではない可能性があるため、不自然な表現や違和感のある言い回しが含まれることがあります。
・また、文書がgofile[.]ioやWeTransferなどの公開型ファイル共有サービスを通じて送付されている場合にも注意が必要です。通常、このような方法が用いられることはありません。
・添付ファイルの種類にも注意してください。RARやZIPなどの圧縮ファイルが添付されている場合は、安易に開封または実行せず、送信元や内容の正当性を確認してください。
・ソフトウェアアップデートが表示された場合は、速やかに適用してください。
・セキュリティソフトを実行しており、最新の状態になっていることを確認してください。
メールに少しでも違和感を覚えた場合は、添付ファイルとしてITまたはセキュリティチームに転送してください。正当なメールであっても、報告すること自体が問題になることはありません。
構成/立原尚子
最新号
