SE_BOKUのまとめノート的ブログ

SE_BOKUが知ってること・勉強したこと・考えたことetc

トップ > IT関連つまみ食い > パスワードを変えても、Office365アカウントが乗っ取られたままになるフィッシングの手口

パスワードを変えても、Office365アカウントが乗っ取られたままになるフィッシングの手口

IT関連つまみ食い

f:id:arakan_no_boku:20200315005635p:plain

目次

はじめに

リライトで目次を追加しました。

内容は2020年3月時点のものです。

 

パスワードを変えても、Office365アカウントが乗っ取られたままになる

パスワードを変更しても、アカウントが乗っ取られたままになってしまう、実にやっかいな フィッシングの手口の話題です。

フィッシングとは

インターネットのユーザから経済的価値がある情報(例:ユーザ名、パスワード、クレジットカード情報)を奪うために行われる詐欺行為 

のことです。

英語表記だと、「fishing」ではなく「phishing」になります。

ja.wikipedia.org

 

ターゲットはOffice365限定です

ターゲットは「ofice365限定」です。

紹介しているのは、こちらの記事。

info.phishlabs.com

それと、こちらの記事です。

info.phishlabs.com

 

office365の機能を悪用している点が新しい

フィッシングのよくある手口はだいたいこんな感じです。

手口は、金融機関などの有名企業を装った電子メールに、「アカウント更新のため」などとして電子メール内に書かれているURLをクリックさせ、表示された偽のWebサイトに口座番号などのID、パスワードなどを入力させ、個人情報を取得するというものです

www.sagiwall.jp

偽のWebサイトは凄く巧妙に作られていても、当然ながら、元々のWebサイトとは別物で、ドメイン名も違います。

でも。

今回の手口は違います。

Office365に備わっている機能だけを悪用しているのです。

だから。

リンクに表示されるドメイン名は正式なマイクロソフトのものです。

リンクをクリックして現れるログイン画面もマイクロソフトの正規のもの。 

f:id:arakan_no_boku:20200315130635p:plain

サインインすると、こんな感じの承認画面が表示されます。

この承認画面もマイクロソフトの正規画面です。

この画面のメッセージを良く読めば「あやしい」と疑うことはできるでしょうが、よく読まずに承認してしまうと、「Office 365アカウントのフルコントロールが攻撃者に効果的に付与される=乗っ取られる」というわけです。

f:id:arakan_no_boku:20200315131305p:plain

しかも。

一回承認して、攻撃者にフルコントロールを握られてしまうと、あわててパスワードを変更しても防ぐことができないという、最悪の事態になります。

Office365のExcelやWordで重要な資料とかを作って保存とかしてると、すべて抜き取られてOUT!!です。

さらに。

configuration of the Office 365 instance, a compromised admin account may enable retrieval of user emails, or complete takeover of other email accounts on the domain.

Office365インスタンスの設定では、管理者アカウントが侵害されると、ユーザーの電子メールの取得や、ドメイン上の他の電子メールアカウントの完全な乗っ取りが可能になります。

 などと書いてあります。

資料ばかりでなく、電子メールアカウントまで乗っ取られます。

やられ放題ですね。

 

これはマイクロソフトのバグではないのか?

フィッシング全体に言えることですが、よく確かめもせず、メールのリンクをクリックするのは問題です。

さらに、ログインして、内容を確認もせず「Accept」ボタンを押すど言語道断です。

でも。

マイクロソフトがOffice365に用意した「正規の機能」だけを使って、攻撃をしかけることができるってどうなのか?・・そんな疑問は残ります。

開発時に攻撃者に便宜をはかる(笑)わけはないので、「こういう使われ方をするとは思わなかった」ということなんでしょうけど、そういうのを「仕様バグ」って、世間では言うんじゃなかったですかね。

とにかく。

早急につぶしてほしいですね。

メーカーの責任として。

 

PHISHLABSの発信する情報でさらに気になったこと

おまけですが。

PHISHLABSの情報をさらにチェックしていたら、こんな記事がありました。 

info.phishlabs.com

コロナウィルスの騒ぎにつけこんで、CDC(アメリカ疾病予防管理センター)の名前を語って、フィッシング詐欺を働こうとするものとかが、でてきているそうです。

ここに書かれていることは、とても身につまされることがあります。

それは。

If things keep trending the way they are, fear and panic will continue to grow, and as fear grows threat actors are always ready to jump on a malevolent opportunity.

それ(コロナウィルス感染症)が現在のように流行し続けるならば、恐怖とパニックは拡大し続けるだろうし、(コロナウィルス感染症に対する)恐怖が大きくなるにつれて、悪意のある(攻撃者が仕掛ける)機会に飛びつきやすくなる。

 ということです。

コロナウィルス感染症に対してパニック心理がおきてしまうと、不安を解消するために情報を求める心理が強くなって、CDCとかWHOみたいな権威ある機関を装ったメールや、影響調査のアンケートみたいなメールに対する警戒心が薄れて、被害をうけやすくなる・・ということなんですね。

やっぱり。

大変なことがまわりで起きている時ほど、まず、深呼吸して落ち着くことが、大事なんだなと思うわけです。

うん。