KnowBe4 Threat Labパブリケーション
著者:Jeewan Singh Jalal、 Anand Bodke、Daniel Netto、Martin Kraemer
KnowBe4 Threat Labは最近、教育機関を標的としたフィッシングキャンペーンを観測しました。30日間で4,361件の攻撃が報告され、それぞれ異なる40の送信者ドメインから発信されていました。これらのドメインの65%は侵害された教育機関のものでした。
これらの攻撃の目的は、認証情報を詐取することであり、その結果、潜在的なデータ損失、侵害、さらなるフィッシングメールにつながる可能性があります。
2024年には、教育機関がサイバー犯罪者のメインの標的となり、ランサムウェアやフィッシング攻撃が急増しています。マイクロソフトのサイバーシグナルレポートによると、教育機関の古いITインフラと脆弱なセキュリティプロトコルが主要な脆弱性として挙げられています。膨大な個人データと高い運用停止リスクを抱える学校や大学は、データ窃取、恐喝、混乱を目的として、ますます狙われるリスクが上がっています。
教育機関への攻撃例
教育機関への攻撃はQRコードまたはフィッシングリンク(添付ファイルに埋め込まれている手口もある)を使用して、受信者を正規のGoogleフォームサービスに誘導し、そこでログイン認証情報の入力を促すものが多いです。
ステップ 1 - フィッシングメール
学生ではなく教職員を標的にしていると思われる以下の攻撃例では、攻撃者はQRコードを含むPDFを添付したフィッシングメールを送信しています。この方法が使われると、シグネチャベースの検知モデルに大きく依存するレガシーなセキュアEメールゲートウェイ(SEG)では添付ファイル内の悪意のあるリンクを検出が難しく、受信者に到達してしまいます。
ソーシャルエンジニアリングを活用して、攻撃者は受信者に401(k)/給与福利厚生にアクセスするためにQRコードをスキャンするよう促します。これにより、セキュリティ対策がされている可能性の低い、スマートフォンなどの個人デバイスへと誘導します。QRコードをスキャンすると、受信者はGoogleフォームサイトにて、認証情報の入力を求められます。
ステップ 2 - Googleフォーム
以下の2つの例は、この教育機関関連のフィッシング攻撃の2つ目のステップです。まず、受信者がQRコードをスキャンするかメール内の悪意のあるリンクをクリックした後にフォームが起動します。Googleフォームのような著名なベンダーの正規のサービスを使用することで、受信者を信頼させてデータを入力させる成功確率を高めています。
最初の例では、おそらく高校生である受信者がメールを「更新」するために、名前、年齢、電話番号、パスワードなどの詳細情報を入力することを求められています。攻撃者が過去と現在のパスワードを要求しているという事実は、若い世代の間でセキュリティ意識が欠如しており、ソーシャルエンジニアリングに引っかかりやすいことを表しています。
2つ目の例は、大学生を標的にして、キャンパス外のアルバイトに応募するために性別、年齢、メールアドレス、電話番号などの詳細情報を提供するよう求めます。これらのアルバイトは、リモートワークや高額の給料など、いい条件で募集しており、大学生にとって非常に魅力的なものとなっています。
教育機関へ送信されたメールは以下の組み合わせです:
- メール本文内のプレーンテキストURL(53%)
- リンクが埋め込まれた添付ファイル
- doc(18%)
- HTML(2.5%)
- PPT(2%)
- PDF(1%)
- その他(0.6%)
数字を見ると
下記の表は、報告されたメールの数とトップレベルドメイン(TLD)の内訳を示しています。このフィッシングキャンペーンで最も観測されたTLDは教育機関のドメインからのものでした。これらを分析した結果、40の固有の送信者ドメインが確認され、そのうち26が侵害された教育機関のIDでした。
-1.png?width=400&height=247&name=unnamed%20(1)-1.png)
-1.png?width=400&height=247&name=unnamed%20(2)-1.png)
報告されたメールの79%は、唯一のメールセキュリティのExchange Online Protectionをバイパスしていました。残りの21%は、Barracuda Email Security Services、Sonicwall、Ironport、Trend Micro Anti-Spam Engine、Mimecast、Proofpoint Essentials、Sophos、Symantec Messaging Gatewayなどのセキュアメールゲートウェイ(SEG)をバイパスしていました。
主要なキャンペーンの特徴
報告されたメールの分析に基づき、このキャンペーンは下記のような傾向と特徴を示しています。
- 大学生の就職機会、助成金、アカウント更新のニーズを利用してフィッシングメールを配信
- docx、pdf、odtなどの添付ファイルに、プレーンリンクまたはQRコードとしてフォームリンクを埋め込んでいる
- 正規サービスであるGoogleフォームを使用して認証情報を収集
- 認証情報の侵害の目的は、さらなるフィッシングメールを配信すること
- 大学の認証情報が侵害された場合、フィッシングメールの信憑性を高めるために、大学内のアドレス帳の連絡先に対してさらなるフィッシングメールを送信している
推奨事項
- 教育機関特有のフィッシング脅威の認識:教育関連のフィッシングの識別方法を教え、最新事例を共有
- 安全なオンライン習慣を促進:パスワード管理、多要素認証、送信者/リンクを確認などオンライン習慣に関する指導を行う
- スタッフのサイバーセキュリティトレーニングを実施する:役割ごとで定期的なトレーニングを実践的な演習と共に提供
- 継続的なモニタリングとテストを実施:自動検出を使用し、シミュレーションを実施し、セキュリティ対策を定期的に更新
- メールセキュリティを強化:QRコードフィッシングなどの高度な脅威を検出して無効化できる、対フィッシングツールを学生と教職員に提供
KnowBe4 Threat Labについて
KnowBe4 Threat Labは、専門家の分析とクラウドソーシングによるインテリジェンスを組み合わせることで、メールの脅威とフィッシング攻撃の最新の状況を調査分析し、その緩和策を提供することを目的としています。経験豊富なサイバーセキュリティの専門家チームは、最新のフィッシングのテクニックを調査し、これらの脅威に先手を打って対抗するための戦略を開発しています。グローバルなKnowBe4カスタマーコミュニティからのインサイトを活用することで、包括的な推奨事項とタイムリーなアップデートを提供し、高度化するメールベースの攻撃から組織を保護し、対応できるようにします。KnowBe4 Threat Labは、KnowBe4のイノベーションと専門知識へのコミットメントであり、進化し続けるサイバー脅威への強固な防御を提供していきます。
原典:Martin Kraemer著 2025年3月4日発信 https://blog.knowbe4.com/schools-in-session-surge-in-phishing-attacks-targeting-the-education-sector