チェック・ポイント、Dropboxを騙るフィッシングの急増を確認

包括的なサイバーセキュリティソリューションプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point® Software Technologies Ltd. < https://www.checkpoint.com/ > 、NASDAQ：CHKP、以下チェック・ポイント）は、Dropboxを騙る攻撃が急増していることを確認しました。9月の最初の2週間で、5,550件の攻撃が確認されています。

ハッカーたちはDropboxを利用して、偽のログインページを作成し、最終的にクレデンシャルの収集ページに誘導しています。 これは、私たちが「BEC 3.0攻撃」と呼ぶものの一例で、すでに実在するサービスを謳った、非常に巧妙なフィッシングメールを送る攻撃手法としてチェック・ポイントは注意喚起を行なっています。

進化するBEC攻撃

BEC（Business Email Compromise）攻撃とは、フィッシングなど巧妙な手口を介し、偽メールを組織に送り、金銭を攻撃者の指定口座へ送金させる詐欺のことで、チェック・ポイントではその進化を3フェーズに分けて定義しています。

BEC 1.0攻撃では、会社の上司といった関係者に攻撃者はなりすまし、偽メールを送り、送金を依頼しました。そして、BEC 2.0では手口はさらに巧妙化し、ハッカーが組織内の人物もしくは関係者のアカウントを侵害し、あたかも従業員かのようにメールに返信し、さらに、請求書にある銀行情報を改ざんし、ハッカー指定の口座に送金させるよう仕向けます。さらに、BEC 3.0攻撃は、Dropboxなどの合法的なサービスを使用してフィッシング素材を送信およびホストするものを指します。これらのサイトの合法性のため、電子メールセキュリティサービスがこれを防ぐのはほぼ不可能で、エンドユーザーも検出が難しい状況となっています。 このような攻撃は増加の一途で、ハッカーたちはGoogle、Dropbox、QuickBooks、PayPalといったサービスを利用しています。これは私たちがこれまで見てきた中でも、非常に巧妙な手法の一つであり、これまでの攻撃の中でも最も一般的かつ効果的なものともいえます。

Dropboxを装ったBEC3.0攻撃

以下攻撃の概要では、Check Point Harmonyのメール研究者が、Dropboxのドメインを使ったソーシャルエンジニアリングにより、ユーザーからの応答を引き出してクレデンシャルを収集する方法について説明します。この攻撃では、ハッカーたちはDropboxのドキュメントを使用してクレデンシャルを収集するサイトをホストしています。

• ベクター: メール
• タイプ: BEC 3.0
• テクニック: ソーシャルエンジニアリング、クレデンシャル収集
• ターゲット: どのエンドユーザーでも

電子メールの例

（画像1）正規のDropboxサービスから通知メールが届く

攻撃は、本物のDropboxから直接送られてくるメールから始まります。これは、誰でもDropboxから受け取る標準的なメールで、ドキュメントを閲覧する通知です。その後、ユーザーは正規のDropboxページに誘導されます。

（画像2）Dropboxページへの誘導

コンテンツはOneDriveに似たページですが、URLはDropboxにホストされています。 "ドキュメントを取得"をクリックすると、ユーザーは最終的に、資格情報を収集するためのページに誘導されます。

（画像3）最終的に資格情報を収集するページへ誘導される

このページはDropboxの外部にホストされており、脅威行為者はユーザーにクリックさせて資格情報を盗むことを目的とします。

巧妙化・増加を続けるビジネスメール詐欺
ビジネスメール詐欺は急速に進化しています。 数年前までは、CEOや重役からのものを装い、部下にメールで「ギフトカード」を購入するよう依頼する「ギフトカード詐欺」について注意喚起を行なっていました。ハッカーはそのギフトカードを個人的な利益のための使用を試みています。例えば、ターゲットとなるCEOのメールアドレスが「CEO@company.com」であるのに対し、「CEO@gmail.com」というなりすまされたGmailアドレスから送信されていました。また、ドメインやパートナー企業にもなりすましています。これはBEC1.0攻撃と私たちが呼ぶものです。

次に、「BEC2.0」では、侵害されたアカウントからの攻撃が出てきました。これは、内部ユーザーや財務部門などの社内ユーザーが侵害された場合や、パートナー企業のユーザーが侵害された場合もあります。これらの攻撃はさらに巧妙で、合法的なアドレスから来るため、注意が必要です。しかし、偽のOffice 365ログインページへのリンクやNLPが検出できるような不自然な言葉が含まれていることがあります。

そして、今日BEC 3.0が登場し、実在するサービスを悪用した攻撃が確認されています。合法的なサービスから文言が届くため、NLPはここでは無力となります。また、ユーザーはDropboxなどの正規サイトへ誘導されるため、URLのスキャンも効果的ではありません。そのため、これらの攻撃はセキュリティサービスとエンドユーザーの双方にとって特定および阻止が非常に難しいものとなっています。被害を防ぐには、従業員にBEC3.0のような事例を知らせ、教育することも有効です。まずはエンドユーザー自身が「この文書を送ってきた人を知っているか」そして、「Dropbox文書にOneDriveのページが含まれていることは合理的なのか」と疑念を持てるよう、正しい知識を伝えることが重要です。

上記のような疑問を持つこと、またクリックする前にURLの上にカーソルを合わせて確認することは重要ですが、ユーザーに多くを求めることにもなります。ユーザーの判断に依存しているが故に、攻撃が頻度と激しさの両面において増加しているのです。

チェック・ポイントではDropboxに対し、本年9月18日に上記の攻撃と調査結果に関する注意喚起を行いました。

新たなBEC攻撃から保護するための対策と推奨事項
攻撃から身を守るために、セキュリティ担当者に対して次の対策が推奨されます。

• フィッシング攻撃に関連する数多くの指標を分析・特定できる能力を持つAI駆動型テクノロジーを採用し、複雑な攻撃に対する積極的な防御を実施する

• ドキュメントとファイルに対するスキャン機能を備えた包括的なセキュリティソリューションを採用する

• セキュリティ強化のための徹底的なスキャンとエミュレートを実行できる堅牢なURL防御システムを実装する

チェック・ポイントのお客様は、上記の脅威に対し継続的に保護されています。

Harmony Cloud Email & Collaborationセキュリティ
Harmony Email & Collaborationは、Microsoft 365やGoogle Workspaceなど、あらゆるコラボレーションおよびファイル共有アプリに対する完全な防御を提供します。Email & Collaborationは、特にクラウドメール環境のために設計され、受信ボックスに侵入してくる脅威に対して検出と対応を行うにとどまらず、阻止することが可能な唯一のソリューションです。

本リリースは米国時間2023年9月28日に発表したブログ < https://www.avanan.com/blog/stealing-credentials-through-legitimate-dropbox-pages > （英文）をもとに作成しています。 

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（http://www.checkpoint.com) は、世界各国の政府機関や企業など、あらゆる組織に対応するサイバーセキュリティソリューションを提供するリーディングカンパニーです。Check Point Infinityのソリューション群は、マルウェアやランサムウェアなどのあらゆる脅威に対して業界トップクラスの捕捉率を誇り、第5世代のサイバー攻撃から企業や公共機関を守ります。Infinityは、企業環境全体に妥協のないセキュリティと脅威防御を実現する4つのソリューションで構成されています。 リモートユーザー向けのCheck Point Harmony、クラウドを自動で保護するCheck Point CloudGuard、ネットワーク境界とデータセンターを保護するCheck Point Quantum、そしてそれらすべてを包括的かつ直感的な統合セキュリティツールによって管理する予防第一のセキュリティオペレーションスイート、Check Point Horizonです。チェック・ポイントは、10万を超える、あらゆる規模の組織のお客様を守っています。チェック・ポイント・ソフトウェア・テクノロジーズの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント 
・Check Point Blog: https://blog.checkpoint.com 
・Check Point Research Blog: https://research.checkpoint.com/ 
・YouTube: https://youtube.com/user/CPGlobal 
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/ 
・X（旧Twitter）:https://twitter.com/checkpointjapan 
・Facebook: https://www.facebook.com/checkpointjapan 

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-4332-2354
E-mail: checkpointPR@next-pr.co.jp