2020/04/22

「Zoom」を使ったフィッシング詐欺にご注意

2020 年 4 月 22 日 Trevor Collins 著

AbnormalSecurity 社は昨日、Zoomや企業のログイン情報を盗聴するために作られたフィッシングサイトを報告しました。ウォッチガードでは、このサイトの調査を行いました。まずこのフィッシングは、Zoom 会議がまもなく始まるというメールを被害者が受け取るところから始まります。そのようなメールの見本は、こちらでAbnormalSecurity 社が公開しています。解雇に関しても議題に含まれる、とメールには書かれています。メール内には、Zoom ではないフィッシングサイトへのリンクも含まれています。被害者が誤ってリンクをクリックすると、たどり着いたフィッシングサイト上で Zoom のログイン情報を要求されます。このフィッシングサイトは公式の Zoom のログインページにそっくりで、サイトを作成した人物は、Zoom のログイン情報を持っていない場合には、業務用のログイン情報を盗み出せるような機能も追加しています。ログインフォームの上部にはこのように書かれています。

「Zoom では現在、サインアップなしで会議に参加、開催ができます。会社メールアドレスのログイン情報を使用して続行してください。」

フィッシングサイトにあるリンクは、この時点でログインボタンを除きすべて Zoom の公式サイトに繋がっています。被害者がどのようなメールアドレスやパスワードを入力してもログインは失敗しますが、フィッシングはこれで終わりません。入力されたログイン情報は、以下のメッセージを使って認証情報をフィッシングサイトに送ります。

フィッシングサイト内のほとんどのコードは難読化を解除したり、復号したりしなければ理解できませんでしたが、テストのために使用したメールアドレスとパスワードである「notanemail%40example.com」(%40 は、HTML でエンコードされた @ です)と「HiddenPass」が、フィッシングサイトサーバに送られるメッセージに含まれているのは明らかでしょう。「8YPC-CQEW-UYPB-EIDR-IYSR-DN95-35SX-FR67」というトークンがメッセージの最後に含まれていることもわかります。これは、2 要素認証を避けるためだと思われます。幸い Zoom はこのトークンをすでに無効にしたため、使用できません。そのため、最初のログイン試行には失敗しました。再びログインしようとするとフィッシングページはログイン情報をフィッシングサイトのサーバに送り、ユーザは Zoom 公式のサポートページに転送されます。

Zoom は最近になって人気が出てきたサービスであるため、正規のメールと偽物を判別できないユーザは多いでしょう。偽物を判別するためには、予期せぬメールには注意し、メール内のリンクはクリックする前に内容をチェックしましょう。もし不審な点があれば、メールの送信者に直接確認をすべきです。今回の例であれば、人事部です。
DNSWatch / DNSWatchGO のような DNS ベースのマルウェア検知を利用することも、既知のフィッシングサイトのブロックに役立ちます。DNSWatch は、今回紹介したサイトに限らず、そのほかのサイトでも、ユーザが危険な可能性のあるリンクをクリックした際に、ドメイン名検索を傍受して悪意のあるサイトへのアクセスを防止します。