コンピューターセキュリティとサイバー犯罪に関するブログをKrebs On Securityで公開しているジャーナリストのBrian Krebs氏は、ペンシルベニア州のジャーナリストが、メールクライアントから盗んだ正規のメッセージを利用する「スレッドハイジャック」によるフィッシング攻撃の標的にされたことを報告しています。
Lancaster OnlineのジャーナリストBrett Sholtis氏は昨年、2005年に詐欺罪で有罪判決を受けた実業家Adam Kidan氏についての記事を投稿しました。その記事が掲載された数か月後、Sholtis氏はKidan氏のメールアカウントから2通のメールを受信しました。
Krebs氏は、スレッドハイジャックの状況について次のように説明しています。
「メールの1つはKidan氏と同僚のやり取りのようで、「Successfully sent data(データの送信完了)」という件名でした。もう一方のメールはKidan氏からの短いメールで、件名は「Acknowledge New Work Order(新規業務の承認のお願い)」で、メールの本文には「Please find the attached(添付ファイルを確認してください)」とだけ書かれていました。」
これらのメールには、Microsoft Office 365の認証情報を詐取するフィッシングページを起動するファイルが添付されていました。
Krebs氏はブログ中で次のように述べています。
「Sholtis氏は、メール内の添付ファイルをクリックしたところ、Microsoft Office 365のログインページと見た目は同じWebページが起動された。このWebページを分析したところ、正規のMicrosoft Webサイトに認証情報が送信およびチェックされ、ユーザーが偽のアカウント情報を入力した場合はエラーが返さることが判明しました。ログインに成功すると、送信された認証情報が記録され、ユーザーは正規のMicrosoft Webサイトに転送される仕組みになっていました。」
Sholtis氏はこのメールに不信感を抱いたため、被害に遭うことはありませんでした。しかし、このメールはKidan氏のメールアカウントが侵害され送信されており、一見すると信憑性があるように感じられます。
Krebs氏はブログ中で次のようにまとめています。
「フィッシング攻撃の被害に遭わないための最善のアドバイスは、心当たりのないメールやSMSなどから届いたリンクや添付ファイルを開かないことです。メッセージが不審なものであるかわからない場合は、攻撃が疑われるサイトやサービスに手動でアクセスしてください。タイポスクワッティングの可能性があるサイトを避けるためにブラウザのブックマークを使用することをお勧めします。」
KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の6万5千社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティカルチャー(文化)の形成につなげています。
詳細については、KrebsOnSecurityの記事を参照してください。
原典:Stu Sjouwerman著 2024年4月1日発信 https://blog.knowbe4.com/thread-hijacking-phishing-targets-journalist