KnowBe4 Threat Labパブリケーション
著者:Martin Kraemer、 James Dyer、Lucy Gee
侵害されたアカウントからフィッシングメールを送信するのと同様に、サイバー犯罪者は正規のプラットフォームを活用することで、攻撃の成功率を高めることができます。
最近、人気の会計ソフトウェア、Intuit QuickBooksを使用した攻撃が増加しています。KnowBe4 Threat Labは、2025年1月1日以降、このプラットフォームを使用した攻撃が、36.5%増加したことを観測しました。これらの攻撃を効果的にするため、サイバー犯罪者はプラットフォーム上に無料アカウントを作成し、実際のコミュニケーションとの区別を困難にしています。
正規のプラットフォームを使用して、フィッシングメールを送信するという攻撃は、世界的に流行しています。ただし、これらのプラットフォーム自体が侵害されているわけではないことに注意する必要があります。サイバー犯罪者は(通常は無料の)認可されたアカウントを作成し、メール送信権限を得ます。そこから、彼らは単にプラットフォーム内で攻撃を作成し、「送信」をクリックするだけです。これは無料のウェブメールアカウント(GmailやHotmailなど)を作成するのとほぼ同じですが、正規のプラットフォームを使うことで、信頼されているブランドと送信者ドメインを活用するという追加の利点があります。
2022年1月1日から2025年2月28日の間に、KnowBe4 Threat Labはこれらのタイプの攻撃が376.6%増加したことを確認しており、2025年は現時点で2024年と比較してすでに43.6%増加しています。
-2.png?width=375&height=375&name=unnamed%20(1)-2.png)
キャンペーン概要
これらのキャンペーンのすべての攻撃は、KnowBe4 Defendにより特定・無効化され、KnowBe4 Threat Labによって分析されました。
ベクトルとタイプ:メールフィッシング
主な手法:ブランドなりすまし、フィッシングハイパーリンク、ソーシャルエンジニアリング
標的:グローバル
プラットフォーム:Microsoft 365
ネイティブおよびSEG検出をバイパス:はい
QuickBooksは、中小企業が請求書発行、簿記、予算管理などのタスクを管理するのに役立つクラウドベースの会計ソフトウェアです。このサービスからの正規のコミュニケーションには通常、請求書の通知、支払い確認、アカウント更新などのメールです。
サイバー犯罪者は、無料の正規アカウントを使用して公式の送信ドメイン ‘@intuit.com’ からフィッシングメールを送信し、標準的なレピュテーションベースのドメインチェックをバイパスすることで、このプラットフォームを悪用しています。さらに、’intuit.com’ は31年前に登録されており(2025年2月28日現在で11,333日の歴史)、長くにわたって高い信頼度を保っています。
このような正規のドメインは、サイバー犯罪者が新しく作成するドメインとは異なり、ほぼ、Microsoftのネイティブセキュリティおよびセキュアメールゲートウェイ(以下、SEG)テクノロジーが正規なものと認定されてしまいます。新しいドメインは通常、適切なものであるという評価や登録がなく、不審なものとしてフラグが立てられる可能性が高くなります。
この攻撃はKnowBe4 Defendによって特定されましたが、下記のように、認証チェックを通過したQuickBook攻撃が確認できます。
-2.png?width=600&height=178&name=unnamed%20(2)-2.png)
会計ソフトウェアのドメインと一致するために、これらの攻撃は、財務に関するトピック、文書レビュー、またはアカウントエラーに関連する件名を多く使用しています。
KnowBe4 Threat Labの分析によると、以下の件名が頻繁に使用されていることがわかりました:
- 次の文書のご確認をお願いします ファイル名: PaymentInstruction 送信日時: 1月28日
- 承認された支払いがあります。ご確認ください 送信日時: 10月2日 22:17
- Coinbaseからの請求書 請求書番号:1005
- リマインダー:請求書番号2264の対応をお願いします
- 送金通知書
- アカウントエラー
- ボイスメールメッセージ受信
QuickBooksを利用したフィッシング攻撃例
KnowBe4 Defendは、2025年2月12日に送信された以下のフィッシングメールを検出しました。QuickBooksの正規のドメインとブランディングに加えて、この攻撃はビットコインプラットフォームのCoinbaseと金融プラットフォームPayPalになりすましていました。.png?width=426&height=557&name=unnamed%20(3).png)
メール本文内で、攻撃者はPayPal Payment Requestの画像を使用しています。この画像はフィッシングウェブサイトにハイパーリンクされているものです。典型的なテキストの代わりに画像を埋め込むことにより、従来の既知攻撃検知モデルがテキストをスキャンできないため、メールセキュリティツールの効果が制限されます。
難読化を用いることで、MicrosoftのネイティブセキュリティとSEGがフィッシングリンクを識別するのを防ぎ、自然言語処理(NLP)や自然言語理解(NLU)などの高度なツールは、緊急性を煽るメッセージなどソーシャルエンジニアリングの手がかりとなるものを検出できません。
また、KnowBe4 Threat Labは、サイバー犯罪者が複数の攻撃方法を仕掛け、フィッシングからビッシング(音声フィッシング)に移行しようとしていることを観測しました。これらのメールでは、サイバー犯罪者は「カスタマーサポート」に連絡するための国際フリーダイヤルの電話番号をユーザーに伝えます。
ユーザーが電話をかけると、攻撃者はQuickBooks担当者になりすまし、リモートアクセスソフトウェアのインストール、ログイン認証情報の提供、または不正な支払いの実行などへ誘惑します。会話を電話に移すことで、攻撃者はメールセキュリティフィルターを完全に回避し、リアルタイムで被害者にプレッシャーをかけることができ、成功の可能性を高めます。
正規のプラットフォームを使用したフィッシング攻撃の検出
正規ドメインの活用、CoinbaseやPaypalなどの他の信頼されている組織になりすますなど、これらのキャンペーンで使用されていた、高度なフィッシング技術の組み合わせは、攻撃が成功する可能性を大幅に増加させます。特にレガシー検出システムに依存している組織にとっては
かなりの脅威になり得ます。これらのフィッシングメールは、お金の取引に関わっていること以外の明らかな注意点はなく、受信者は、そのメールが悪意のあるものであると認識するには苦労する可能性が高いです。そのため、検出方法は統一された、二段階のアプローチであるべきです:
送信者のレピュテーションおよびNLPやNLUのような狭い範囲の安全策に依存するのではなく、メールの件名分析や、単語ではなく画像のみのメールなどの不審な行動にフラグを立てるなど、幅広い検出方法を持つ、対フィッシングテクノロジーを活用すべきです。
同時に、この技術に頼るだけではなく、効果的なセキュリティ研修を活用して補完すべきです。正規の送信元から来たように見えるメールでも、受信者が不審なメールを見分けられる力を身につけることが大切です。
原典:Martin Kraemer著 2025年3月7日発信 https://blog.knowbe4.com/invoice-or-impersonation-36.5-spike-in-phishing-attacks-leveraging-quickbooks-legitimate-domain-in-2025