更新: 7月13日から7月16日の間に、レストランチェーンChipotle Mexican Grillが所有するMailgunアカウントが何者かに乗っ取られ、不正に流用されたマーケティングメッセージを使用してログイン認証情報が注文されました。
フィッシング対策会社INKYは木曜日、この期間中にチポトレのMailgunアカウントから発信されたフィッシングメールを121件発見したと発表した。
フィッシングメッセージには、マルウェアが添付された偽のボイスメール通知が2件含まれていました。これは、区別する人々の間では「ヴィッシング」とも呼ばれています。また、USAA銀行の通信文を装ったメールが14件、Microsoftからのメールを装ったメッセージが105件含まれていました。これらの偽メールは、受信者をそれぞれUSAA銀行とMicrosoftのサインインページを模倣した認証情報収集ウェブサイトに誘導していました。
訓練された目を持つ人、あるいはUSAAやMicrosoftのメッセージがなぜmail.chipotle.comから発信されるのか疑問に思う人なら、生のメールヘッダーデータを分析すれば、その欺瞞は明らかでしょう。しかし、INKYが公開したMicrosoftのフィッシングメールのサンプルを見ると、受信者にはその不一致は見えなかったことが示唆されています。
マイクロソフトのフィッシングメッセージの1つ...クリックして拡大
「受信者(およびメールセキュリティソフトウェア)が、送信者の表示名(Microsoft、USAA、VM Caller ID)と実際のメールアドレス(postmaster@chipotle[.]com)の不一致に気付くことが重要です」と、INKYのサイバーセキュリティアナリスト、ブカール・アリベ氏はThe Registerに提供されたブログ記事で述べています。「MicrosoftとUSAAがアカウント問題を解決するためにmail.chipotle[.]comのURLを使用することは決してないことは明らかです。」
しかし、セキュアメールゲートウェイは、送信元ドメインが正当であり、承認されたIPアドレス範囲から送信されているかどうかのみをチェックすることが多い。この仕組みは、マイクロソフトがチポトレ経由でアカウント通知を送信したように見えるような不合理な事態につながる可能性がある。
この特殊なフィッシング手法は、SolarWinds への攻撃で悪名高い Nobelium グループによって効果的に利用されました。伝えられるところによると、クレムリンが運営するこのグループは、Mailgun の競合企業である Constant Contact にある米国国際開発庁 (USAID) の電子メール マーケティング アカウントを使用してマルウェアを配布しました。
電子メール マーケティング アカウントをハイジャックする利点の 1 つは、そのようなサービスでは、評判を傷つけるスパムを最小限に抑え、SPF、DKIM、DMARC などのメッセージング セキュリティ テクノロジを適用することで、メッセージが確実に配信されるように努める傾向があることです。
しかし、アリベ氏はThe Registerへのメールで、送信者の信頼性が問われる前にメッセージは検知されたと述べた。「チポトレとメールガンが発信元であるにもかかわらず、INKYはこれらのメールを危険物と分類していたため、幸いなことにユーザーに警告するか、メールを隔離することができました」と彼は述べた。
INKYのCEO、デイブ・バゲット氏は、「もちろん、他のメール保護ベンダーの顧客にとっての結果は分からない」と付け加えた。
- テクニカルサポート詐欺は多少は減少しているが、ミレニアル世代とZ世代はそれが無敵だと思い込み、被害に遭っている。
- 情報を共有するのは怖いですが、ITと情報セキュリティについて話し合うことのメリットはデメリットを上回ります。
- 偽のKaseya VSAパッチが流通、リモートアクセスツールで罠
- Namecheapは昨年、英国政府の偽フィッシングサイトの25%以上をホストしていた – NCSCレポート
アリベ氏は、チポトレのMailgunアカウントがどのように侵害されたかは不明だと述べた。「Mailgunを装ったフィッシングメールやサイトがMailgunの認証情報を収集するのを確認しているため、チポトレの従業員が認証情報の収集の被害者になった可能性が非常に高い」とアリベ氏は述べた。
バゲット氏は、チポトレの従業員がマルウェアの添付された電子メールを開き、従業員のアカウントやデバイスが侵害された可能性があると述べた。
「一般的に、INKYはこの点で増加傾向にあると見ています。攻撃者は、多くの企業やユーザーが共有するクラウドサービスである『共有インフラ』をますます利用して、真の身元を隠しています」と彼は述べた。「Dropboxのようなクラウドファイル共有サービスやMailgunのようなクラウドメールインフラの悪用にも、この傾向が見られます。」
少なくともINKYは、フィッシング攻撃の発信元がどこなのかも把握していない。「これらのメールはMailgunのサーバーから発信されているため、誰がこの攻撃を仕掛けたのか、またその所在地について手がかりは全くありません」とアリベ氏は述べた。
「攻撃者は、任意の仮想領域に追跡不可能なオンラインプレゼンスを複数構築することが容易であることも忘れてはなりません」とバゲット氏は述べています。「そのため、2021年において、攻撃者が使用するIPアドレスの位置情報だけでは、攻撃者の真の本拠地については全く分かりません。これは主に、どのクラウドプロバイダーが侵害を受けたかを評価する際に役立ちます。言い換えれば、攻撃に使用されたIPアドレスを特定のクラウドプロバイダーに結び付けることは簡単ですが、攻撃元の国に結び付けることは一般的に不可能なのです。」
レジスターはチポトレに侵入がどのように起こったかの詳細を尋ねたが、返答はなかった。®
追加更新
この記事が掲載された後、Mailgunの広報担当者はThe Registerに送った声明の中で、「Mailgunのセキュリティチームは、ChipotleとUSAAの顧客を標的としたフィッシングキャンペーンを認識しています。これはプラットフォームレベルの脆弱性やデータ侵害によるものではありませんが、私たちはこのインシデントの徹底的な調査に協力し、支援しています」と述べています。
Mailgunは、ログやその他のフォレンジック情報を提供することで、お客様のインシデント調査を定期的に支援し、認証情報漏洩の根本原因の特定を支援しています。Mailgunプラットフォームには、多要素認証、セッションタイムアウトの設定、ロールベースのアクセス制御、その他のセキュリティ機能が搭載されており、不正ログインを防止します。
