関連インシデント
比較的新しいAI搭載のプレゼンテーションソフトウェアツールであるGammaは、MicrosoftのSharePointを偽装し、ユーザーのログイン認証情報を盗み出す、非常に説得力のあるフィッシング攻撃に悪用されています。
サイバーセキュリティ研究者のAbnormalは、この攻撃を実際に確認し、フィッシングフローを「非常に洗練されているため、どの段階でも本物らしく感じられる」と評しました。
この攻撃は、正規のメールアカウント(ただし侵害されている)から、一般的な簡潔なフィッシングメー�ルを送信することから始まります。これにより、攻撃者はSPF、DKIM、DMARCなどの標準的な認証チェックを回避し、メールを標的の受信トレイに直接送信することができます。
SharePoint のなりすまし
このメール自体は特に変わったものではなく、PDF ファイルが添付されています。実際には、これは AI を活用したオンライン プレゼンテーション ビルダーである Gamma でホストされているプレゼンテーションへのリンクとなるハイパーリンクです。
このプレゼンテーションには、なりすまし組織のロゴと、「PDF を表示」または「セキュリティで保護されたドキュメントを確認」といったメッセージが表示されます。
このメッセージはハイパーリンク形式で、偽装された Microsoft ブランドと Cloudflare Turnstile を含む中間スプラッシュページへと誘導します。こうして、攻撃者は、基本的な自動セキュリティ ツールではなく、実際の人間がサイトにアクセスできるようにします。
被害者が CTA をクリックすると、Microsoft SharePoint サインイン ポータルを偽装したフィッシング ページに移動します。
ここで実際の窃盗が行われます。被害者は Microsoft の認証情報を使用してログインするよう促されるからです。
間違った認証情報を入力するとエラーが表示されるため、研究者たちは攻撃者が何らかの中間者攻撃の仕組みを使って認証情報をリアルタイムで検証していると結論付けています。
Abnormal社によると、この攻撃が特異なのは、Gammaが「比較的新しい」攻撃者であり、登場からまだ数年しか経っていないことが主な理由です。
「組織はファイル共有フィッシング攻撃全般につ��いてますます精通するようになり、中にはセキュリティ意識向上のためのトレーニングに事例を組み入れ始めているところもあるかもしれません。しかしながら、この種のフィッシング攻撃をサイバーセキュリティ教育に取り入れている企業の割合は低い可能性が高いでしょう。DocusignやDropboxといった有名ブランドを悪用した攻撃以外の事例を取り上げている企業はさらに少ないでしょう」と研究者たちは述べています。
「そのため、この種の攻撃は、CanvaやGoogle Driveを悪用した攻撃のように、従業員によるより厳格な監視を促すような警鐘を鳴らすことはないかもしれません。」