関連インシデント
サイバー犯罪者は、AI 搭載のプレゼンテーションツール「Gamma」を悪用し、Microsoft の認証情報を窃取することを目的とした多段階攻撃を仕掛けています。
この攻撃経路は、従来のセキュリティ対策を回避するだけでなく、信頼できるプラットフォームやサービスを悪用して受信者を欺くように設計されています。
Gamma と Cloudflare Turnstile の悪用
サイバー攻撃者は、あまり知られていないものの、プレゼンテーション作成プラットフォームとしてますます利用が拡大している Gamma を悪用し、悪意のあるコンテンツをホストしています。
攻撃の展開は以下のとおりです。
- 最初の�接触:キャンペーンは、侵害された正規アカウントからのメールから始まり、受信者にドキュメントの閲覧を促します。件名と本文は一般的な内容で、「添付ファイルを表示」といった内容であることが多いです。しかし、「添付ドキュメント」は実際にはGammaがホストするプレゼンテーションへのハイパーリンクです。
- Gammaプレゼンテーション:リンクをクリックすると、何も知らないユーザーはGammaプレゼンテーションに誘導されます。このプレゼンテーションには、組織のロゴと「PDFを表示」などのCTA(行動喚起)ボタンが表示されます。このCTAボタンは、ユーザーを操作パスにリダイレクトします。
- 中間スプラッシュページ:次のステップでは、Microsoftブランドのスプラッシュページと、CAPTCHAを使用しないボット検出機能であるCloudflare Turnstileが表示されます。このステップは、自動セキュリティツールを回避し、正規のユーザーのみがフィッシングサイトにアクセスできるようにするため、非常に重要です。
- 偽のMicrosoftログイン:Turnstileを通過すると、MicrosoftのSharePointログインを模倣した、精巧に作成されたフィッシングページが表示されます。ここで、被害者は認証情報の入力を求められ、その情報は中間者攻撃(AiTM)フレームワークによってリアルタイムで検証されます。これにより、攻撃の巧妙さがさらに増します。
この攻撃が注目される理由
このフィッシングキャンペーンは、いくつかの理由から注目に値します。
-
Gamma の目新しさ: Gamma は比較的新しいため、広く認知されて��おらず、ユーザーが疑う可能性が低いです。
-
間接メール: 攻撃者は Gamma を介して直接メールを送信するのではなく、侵害したアカウントからメールに悪意のあるリンクを埋め込むことで、コンテンツのスキャンや検出を回避します。
-
Cloudflare Turnstile: このサービスは、フィッシングサイトの正当性を高めるレイヤーを追加することで、自動システムによる検出を困難にします。
攻撃者が AiTM フレームワークを使用していることは、特に憂慮すべき点です。この設定により、攻撃者は認証情報を収集できるだけでなく、セッションCookieも取得できるため、多要素認証 (MFA) を回避し、被害者のアカウントに不正アクセスできるようになります。
この攻撃は、正当な送信元から始まり、Gamma のような信頼できるサービス、信頼できるセキュリティツール、そして最後に説得力のある偽のログインへと階層的に展開されるため、検出が困難です。
- メール認証: メールは標準的な認証チェックを通過し、正当な送信元から送信されたように見えます。
- 多段階リダイレクト: 攻撃パスは複数のリダイレクトによって難読化されているため、静的リンク分析の有効性が低下します。
レポートによると、このキャンペーンは、従来のルールベースのメールセキュリティを超えることの重要性を強調しています。
AIと行動分析は、このような微妙なフィッシング攻撃を特定し、阻止する上でますます重要になっています。