複数のサイバー脅威グループがアカウントを侵害するために正規のCloudflareサービスを利用しており、これらのグループによるフィッシングキャンペーンが増加しています。
米国のセキュリティ企業であるNetskopeのセキュリティアナリストが、HTMLスマグリングとトランスペアレントフィッシング攻撃を行うためにCloudflareのサービスを悪用するケースにについて解説しています。
HTMLスマグリングは、数年前から検出されており、今年になってもこの攻撃手法が使用されています。また、トランスペアレントフィッシングと呼ばれる新たな攻撃手法も登場しています。この手法は、認証サービスと標的のユーザー間で動作するプロキシサーバーを攻撃者が作成してフィッシングに利用する中間者攻撃の一種です。
Netskopeの調査によると、正規のクラウドサービスであるCloudflare Workersがこの攻撃に利用されています。Cloudflare Workersは、アクセスしたユーザーにWebページを配信するなどのサーバーレス機能を実行するプラットフォームです。サイバー攻撃者はCloudflare Workersを使用して、標的ユーザーのログオンリクエスト、認証情報の送信、MFAリクエストなどを取得して、中間者攻撃を実行しています。
このような攻撃を阻止する唯一の方法は、従業員に新しいスタイルの先進的なセキュリティ意識向上トレーニングを実施し、Webサイトに警戒し、特にURLに注意できるように教育することです。ユーザーが警戒するようになれば、サイバー攻撃者がどのような手法を使っても、ユーザーを欺くことができず、ログオンメールが不正であることを見破って、攻撃を無力化できます。KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャーの形成につなげています。
原典:Stu Sjouwerman著 2024年6月3日発信 https://blog.knowbe4.com/new-transparent-phishing-attacks-leverage-cloudflare-worker-serverless-computing