サイバーセキュリティソリューションを提供するCofenseは、昇給通知を装い、Office365のID/PWを盗もうとするフィッシングキャンペーンを発見したと、発表した。

■昇給を餌に、フィッシングサイトへ誘導する

　サイバー攻撃者は、ヘッダーの「From」フィールドを操作して、メールがターゲット企業から送信されたように装う。この時、サイバー攻撃者は、メールクライアントに表示される「ニックネーム」を指示するfromフィールドの部分を変更し、あたかもそれが会社内で発生したかのように見せかける。

　メール本文は単純で、ページ上部に太字で会社名が表示されている。そして「As already announced, The Years Wage increase will start in November 2019 and will be paid out for the first time in December, with recalculation as of November.(既に発表したとおり、昇給は2019年11月から始まり、12月に初めて支払われ、11月から再計算される。)」と昇給の案内で有るかのような文章のあとに「salary-increase-sheet-November-2019.xls」というExcelドキュメントへのリンクが記載されている。

　このリンクはSharepointへのリンクのように見せかけているが、実際は他のフィッシングサイトへのリンクが貼られていて、クリックすると、Office365のPW入力を促す、フィッシングサイトが表示される。

■MFAの有効化と、フィッシング攻撃トレーニング

　Office365は日本国内でも大企業を中心に、導入が進んでいる。日本語での本件のようなフィッシングキャンペーンは、それ程耳にしないが、英語圏では複数のパターンのフィッシングキャンペーンが報告されている。ダークウェブで販売されているフィッシングキットは多言語対応が進んでいるため、日本語に対応したフィッシングキットが出回るのも、そう遠くはないだろう。

　Office365を導入する企業は、サイバー攻撃者に狙われることを前提として、MFAの有効化と、フィッシング対策ソリューションの導入、各従業員に対するフィッシング攻撃対策トレーニングを受講することを推奨する。