出典：Ronstik（Alamy Stock Photo経由） Microsoft 365ユーザーを標的とした新たなフィッシングツールが登場し、低スキルのサイバー犯罪者によるソーシャルエンジニアリング攻撃の民主化がさらに進んでいます。 このツール「Quantum Route Redirect」は、かつて技術的に複雑だった攻撃フローを簡素化し、さらに独自の回避型リダイレクト機能を提供して、強力なメール保護をも回避できます。KnowBe4の研究者は、このツールが8月から実際に使われているのを観測し、Microsoft 365ユーザーの認証情報を盗むフィッシングキャンペーンを発見したと、ブログ記事で今週明らかにしました。 現在、約1,000のドメインがQuantum Route Redirectをホストしており、「高度な自動化プラットフォーム」を提供して、トラフィックのリルーティングや被害者の追跡などのキャンペーン機能を効率化しています。 これまでに研究者が観測したこのツールを使ったキャンペーンは、90カ国以上で被害者を出すことに成功しており、「驚くべき国際的な広がりを示している」とKnowBe4のアナリストであるJeewang Singh Jalal、Prabhakaran Ravichandhiran、Anand Bodkeは記事で述べています。攻撃の大半は米国で発生しており、被害者の76%を占め、残りの24%はオーストラリアを除く全大陸に分布しています。 「Quantum Route Redirectは、サイバー犯罪のアクセス性における憂慮すべき進化を示しています」と彼らは指摘します。「技術的な障壁を取り除くことで、最小限の専門知識しか持たない新たな世代の脅威アクターが高度なキャンペーンを展開できるようになっています。」 シンプルなフィッシングキャンペーンの開発 Quantum Route Redirectが新たなフィッシング攻撃者にとって強力な武器となる秘密の要素は2つあると、研究者は指摘します。1つはそのシンプルさで、「事前設定されたセットアップにより、高度なフィッシングキャンペーンを開始するための技術的専門知識が不要となり、その結果、世界中の組織を標的とした高度なフィッシング攻撃の件数が増加する可能性がある」と述べています。 このツールは、従来は開発が難しかった攻撃ステップをワンクリックで開始できるようにし、最も未熟な攻撃者でも多様なテーマや戦術を用いた効果的なキャンペーンを簡単に展開できるようにします。これには、Docusignや他のサービス契約のなりすまし、給与支払いのなりすまし、支払い通知メール、不在着信メッセージ、QRコードフィッシング（クイッシング）などが含まれます。 さらに、URLは一貫して「/([\w\d-]+\.){2}[\w]{,3}\/quantum.php/」というパターンに従い、通常はパークドメインや侵害されたドメインでホストされます。これにより攻撃者は、攻撃対象となる人間をソーシャルエンジニアリングでだまし、ブランドなりすましの力を利用して被害者を欺くことができます。「各バリアントは最終的に受信者を同じ目標、つまりQuantum Route Redirectで管理される認証情報収集ページへと誘導します」と研究者は述べています。 Quantum Route Redirectのリダイレクトがセキュリティを回避 ここで、このツールの2つ目の重要な側面が登場します。それは、Microsoft 365のメールシステムの保護を迅速に回避できるリダイレクトシステムです。ビジネスやエンタープライズ向けのMicrosoft 365導入環境では、通常、Microsoft Exchange Online Protection（EOP）、セキュアメールゲートウェイ（SEG）、そして場合によっては統合型クラウドメールセキュリティ（ICES）製品が含まれており、これらは突破が最も困難です。 これらの検知技術はURLスキャンに依存しており、一部は配信時のみURLを分析し、疑わしいメールを隔離し、安全そうなものをユーザーの受信箱に送ります。サイバー犯罪者は、メールがこの初期分析を通過した後に最終的な遷移先を変更することで、この防御をすでに突破しています。そのため、一部の製品はクリック時の分析も行い、配信後にURLが悪用された場合にはユーザーのアクセスをブロックします。 これらの高度な検知さえも回避するために、フィッシングハイパーリンクで配信されるQuantum Route Redirectのペイロードは、「訪問者」—つまりセキュリティツールか人間か—を自動的に識別し、インテリジェントなリダイレクトシステムで管理できます。 そのため、ハイパーリンクをスキャンするセキュリティツールは正規のウェブサイトにリダイレクトされ、元のメールが無害であると誤認し、受信者がそれにアクセスできるようになります。一方、ハイパーリンクにアクセスした人間は、直接フィッシングページに誘導されます。 KnowBe4の研究者は、Quantum Route RedirectがWebアプリケーションファイアウォール製品さえも欺き、「複数の異なるセキュリティ層を回避できる」と述べています。 高度なフィッシングキャンペーンへの防御方法 攻撃者がAIやその他の手法を駆使して最新のセキュリティ技術を回避する、ますます高度なツールを使いこなす中、防御側も企業のメールシステムを守るためにセキュリティ体制の強化を検討する必要があります。 Quantum Route Redirect技術を使った攻撃に対しては、組織は統合型クラウドメールセキュリティ製品と従来型のメールセキュリティ（SEG）との違い、特に自然言語処理（NLP）や自然言語理解を用いてメール本文を分析する点に注目すべきです。NLPは、ドメイン・URL分析、なりすまし検知などと組み合わせて、メッセージの文脈を把握し、このツールが用いるインテリジェントなリダイレクトを見破るのに役立つと研究者は指摘しています。 さらに、組織はメールセキュリティ製品とWebアプリケーションファイアウォール製品の両方にURLフィルタリング機能を持たせ、Quantum Route Redirectのような攻撃を緩和できるようにすべきです。KnowBe4はまた、組織が内部またはマネージドセキュリティサービスプロバイダーを通じてサンドボックス技術を導入し、悪意のある可能性のあるメールを検査することも推奨しています。 翻訳元:

近年、標的型攻撃やビジネスメール詐欺が増加。新たな攻撃手法への対応が求められる中、効果的な訓練方法を解説するウェビナーが開催されます。

世界的なマーケティング大手の電通は、子会社へのサイバー攻撃によって銀行情報、給与情報、その他の機密データが盗まれたことを受け、現職および元従業員に通知を行っています。 The Registerが確認した影響を受けた個人へのメールでは、今回の攻撃が電通の米国拠点であるデータドリブン型メディアマーケティングおよびカスタマーエクスペリエンス事業「Merkle」を標的としたことが明らかにされています。 Merkleは世界80か所以上で16,000人以上の従業員を擁し、EMEA、アメリカ、APACなどの市場で事業を展開しています。 英国の元従業員に送られたメールで、電通は次のように述べています。「Merkleのネットワーク上のサーバーで異常な活動を検知しました。直ちにインシデント対応プロトコルを実施し、活動の封じ込め措置を講じ、調査を開始しました。」 「同様の事案に対応した経験を持つサイバーセキュリティ企業にも支援を依頼しました。」 「法執行機関に通報し、情報コミッショナー事務局（ICO）および国家サイバーセキュリティセンター（NCSC）にも通知しました。」 日本の同社による対外的な声明は、詳細には触れていませんが、攻撃の封じ込め措置の一環として「特定のシステム」を停止したことを明らかにしており、これはランサムウェア攻撃の際によく使われる表現です。 同社はランサムウェアが関与していたとは述べておらず、現時点で犯行声明も出ていませんが、この点についても明確な説明を求めました。 The Registerはまた、何人がどの地域で影響を受けたのか、攻撃がいつ発生したのかについても電通に問い合わせましたが、同社は当初の声明以上のコメントはしませんでした。 電通は大企業です。同社のウェブサイトによると、世界で約68,000人を雇用し、約120か国で事業を展開しています。 日本を拠点とする電通グループは、日本国内だけで140社、海外にさらに580社を擁しています。直近の年間決算では、世界全体の売上高は92億ドルと報告されています。 同社のメールでは、攻撃があったことに加え、Merkleのシステムからデータが盗まれたことも明らかにしています。 「これらのファイルを精査した結果、お客様の氏名やその他の情報が含まれていることが判明しました。調査は継続中ですが、現時点では、銀行口座や給与情報、給与額、国民保険番号、個人連絡先などが含まれていると予想されます。」 情報漏洩の影響は、収集された情報の内容によって人それぞれ異なります。今回の攻撃は従業員が対象であったため、給与情報や国民保険番号などが流出した可能性があります。 「この件についてご連絡し、私たちが非常に深刻に受け止めていることをお伝えしたかったのです」とメールは続けています。「Merkleはデータの公表を防ぐための措置を講じています。」 「さらに、Experianを通じてダークウェブ監視サービスの無料会員資格もご提供いたします。」 影響を受けた方々には、盗まれたデータがフィッシングやソーシャルエンジニアリングに悪用され、金融口座への不正アクセスやなりすまし詐欺に使われる可能性があるため、銀行などを装った連絡には特に注意するよう警告がなされています。® 翻訳元:

(画像提供：Alexander Supertramp / Shutterstock) Storm-2657ハッカーが大学のメールアカウントを攻撃し、フィッシングや給与支払いのリダイレクトを実行 攻撃者はMFA（多要素認証）の未導入を悪用し、AITM手法で人事SaaSプラットフォームにアクセス マイクロソフトは被害者を支援し、これはBEC型「給与海賊」キャンペーンだと警告 ハッカーは、人事SaaSプラットフォームのアカウントに全米の大学で侵入し、給与を自分たちの口座にリダイレクトしていると、マイクロソフトが警告しています。 同社のレポートによると、攻撃は2025年3月に始まり、Storm-2657と呼ばれる金銭目的のグループがソーシャルエンジニアリングと、多要素認証（MFA）が設定されていないことを利用し、3つの大学で11のメールアカウントに侵入しました。 これらのアカウントを使い、25の大学にわたり約6,000件のメールアカウントに対してフィッシングメールを送信しました。メールの内容は、キャンパスでの感染症発生の警告や、教職員の不正行為の報告など多岐にわたります。目的は、被害者にフィッシングリンクをクリックさせ、Adversary-in-the-Middle（AITM）攻撃を通じてExchange Onlineアカウントへアクセスすることでした。 給与海賊 このキャンペーンは「給与海賊」と呼ばれ、サイバー犯罪者の間で人気のある悪名高いビジネスメール詐欺（BEC）詐欺のバリエーションです。 侵入後、ハッカーはこのアクセス権を利用してWorkday（または他のサードパーティーの人事SaaSプラットフォーム）に入り、給与支払い設定を変更して自分たちの口座に支払いをリダイレクトしました。 また、これらのプラットフォームからの受信メールを削除する受信トレイルールも設定し、被害者が不審な変更に気付かないようにしました。 さらに攻撃を拡大しました。「メールアカウントの侵害とWorkdayでの給与変更の後、脅威アクターは新たにアクセスしたアカウントを利用して、組織内外の他大学にも追加のフィッシングメールを送信しました」とマイクロソフトは述べています。 マイクロソフトはレポートの中で、フィッシング攻撃に引っかかり支払いデータが侵害された人々を特定したと述べています。現在、彼らに連絡を取り、被害緩和を支援しています。また、潜在的な被害者が自分が侵害されたかどうか調査できるよう、ヒントやガイダンスも公開しています。 出典 BleepingComputer GoogleニュースでTechRadarをフォロー、 優先ソースとして追加して、専門家によるニュース、レビュー、意見をフィードで受け取りましょう。必ずフォローボタンをクリックしてください！ もちろん、TikTokでTechRadarをフォローして、ニュース、レビュー、開封動画などを動画でチェックし、WhatsAppでも定期的なアップデートを受け取れます。 翻訳元:

オンライン通信販売サイトが実施する大規模なオータムセールを前に、フィッシング詐欺の準備とも見られる動きが観測されている。セキュリティベンダーが注意を呼びかけた。 ：Security NEXT

サイバー攻撃が巧妙化する中、最新のメール訓練法を理解し、従業員のセキュリティ意識を高める重要なウェビナーに参加しませんか。

最新のサイバー攻撃手法に備えるため、標的型攻撃メール訓練サービスKIS MailMonの概要やメリットをご紹介します。企業のセキュリティ強化を目指しましょう。

標的型攻撃やビジネスメール詐欺への対策を学ぶウェビナーが開催されます。メール訓練の新常識を知るチャンス！