ウォッチガードは最近、世界中の Firebox アプライアンスからの脅威データである Firebox Feed からの脅威インテリジェンスの検証中に、ある特長的なフィッシング詐欺が急増していることを発見しました。主な標的はドイツとイタリアであるものの、アジア太平洋地域でもいくつかの攻撃が見つかりました。TO フィールドと FROM フィールドの両方に DHL や Maersk などの大手運輸会社のアドレスが使われたこのスパムは、請求書や明細書を偽装したもので、最終的には認証情報を盗むことを目的とするものでした。

ここでは、我々が収集したサンプルの中で、Maersk からのメールを偽装したサンプルを取り上げます。Maersk のこのサンプルでは、Maersk の正規のものとそっくりの画像がメールに含まれており、受信者宛の請求書であると記載されていました。メッセージの書式設定が正しくないために、メールを開いた時に本文にこの画像が表示されないこともありましたが、他の環境ではこの画像が正しく表示されるものと思われます。

パスワードの具体的な盗み方は、「PDF」の添付ファイルが実際には Adobe の ID のメールとパスワードの要求をロードする HTML ファイルであり、このフォームに記入すると、請求書が表示されなくなって、認証情報がフォーラム作成サイトである jotfoormeu.com に送信されるというものです。おそらくは、jotfoormeu.com がこの攻撃に関与しているのではなく、誰かがこのサービスを利用してフィッシングフォーム送信用のデータベースを作成したものと思われます。この HTML の添付ファイルに対して、電子メールの添付ファイルの表示で PDF のアイコンが表示されるようになっていることがあり、これは、ユーザが Web ブラウザで PDF ファイルを開くことが多いためです。要求が PDF からのものであると判断した場合、ユーザがフォームに入力する可能性は高くなります。この記事の執筆日現在、jotfoormeu.com からこの攻撃に利用されたサイトは削除されています。

https://jotformeu.com を疑う理由はありませんが、ドメインが信頼できるからといって、未知のユーザが一部のページを編集できるのであれば特に、そのドメインのすべてを信頼できるわけではありません。攻撃者がこのような仕掛けを使って自分のフィッシング攻撃を信頼できるものに見せかけるのは、よくあることであり、Google ドライブ（drive.google.com）、Microsoft Azure Blob ストレージ（blob.core.windows.net）、Microsoft OneDrive（onedrive.live.com）などのドメインは、この目的でよく使われます。

この種の脅威からの防御を可能にする、もう 1 つのサービスである DNSWatch を通じて我々が収集したインテリジェンスから、これと似た戦略の別のメール攻撃が見つかりました。このメールは、そのユーザ専用に作成された Web ページへとユーザを誘導し、Web 要求のリンクにそのユーザのメールアドレスが含まれていて、そのアドレスがフォームに入力されるようになっています。

そのメールは Windows ドメインの Web ページにリンクしていますが、Microsoft アカウントにログインするのではなく、このページからユーザのログイン情報が攻撃者に送信されるようになっています。この Web ページ作成者は、通常のログイン時にユーザに表示される内容と同じになるように、Microsoft アカウントのログインを作り直しています。

攻撃者がフィッシング攻撃を信頼できるものであるかのように装う技術が向上しているため、メールで送られてくる Web リンクの URL ドメインだけで信頼できるものであるかどうかを判断できなくなっています。リンクをクリックしてログインプロンプトが表示されたら、必ず、そのページにどのようにアクセスしたかを確認し、不審な点がある場合は、個人情報を入力せずに、送信元に確認してください。その人物あるいは会社に直接電話をかけて、リンク先が信頼できる相手であることを確認します。メールアカウントが悪用された場合に備え、メールに含まれるリンクを開いて情報を送信しないようにすることをお勧めします。これらの手順を実行することで、リンクを確認するための時間が少し必要になりますが、不正リンクが自分や自分の会社に宛てて送られてきた場合を考えれば、長期的には有効な対策になるはずです。