Bingを悪用したフィッシングサイトへ誘導の解析報告
セキュアブレインで確認した検索サイトBingを悪用したフィッシングサイトへ誘導について解説します。
1.フィッシングメール
受信者の会社のIT部門を騙ったスピアフィッシングメールを確認しました。Microsoftアカウントのパスワードが失効しているため更新する旨の内容です。特徴的なのは、メール本文にURLは記載されておらず、QRコードをスキャンしてサイトへアクセスするように促されます。
2.QRコードに埋め込まれたURL
QRコードに埋め込まれたURLは、”https://www.bing.com”で始まるものでした。多数のURLクエリパラメータが設定されており、中には複数に分割されたBASE64エンコードされた転送先URLとコードの一部と思われる文字列が確認されました。
また、Bingサイトがフィッシングサイトへのリダイレクトに悪用されていることを確認しました。原因としては、オープンリダイレクトの脆弱性などが考えられます。
ご参考:
脆弱性のあるWebサイトを利用したフィッシング詐欺とは? オープンリダイレクトを悪用したフィッシング攻撃
https://www.securebrain.co.jp/blog/2023/0516/
3.フィッシングサイト
QRコードをスマートフォンのカメラで読み取ってURLにアクセスすると、スポーツ動画の中継サイト、ホスティングサイトのCHAPTA認証を経由してMicrosoft 365を騙ったフィッシングサイトに到達することを確認しました。
なお、PCのWebブラウザでQRコードに埋め込まれたURLにアクセスするとポルノサイトへ転送されることや、Webブラウザの開発ツールによる解析を妨害する実装が行われていることを確認しました。
この様に、検索サイトのBingを悪用したスピアフィッシングの存在を確認しました。今回のフィッシングメールは、URLを含まず、QRコードのみを貼り付けているため本文内のURLを検知するようなフィルタリングは行えません。また、スマートフォンのQR読み込みからサイトへの接続を行う際に、URLが”bing.com”から始まるために問題ないと認識してしまう利用者も存在すると考えられます。特に、BingがMicrosoftの提供するサービスで有ることから正規のものであると勘違いをしてしまうことが懸念されます。
今回、ご紹介したのはMicrosoft 365を狙ったスピアフィッシングの事例です。Microsoft 365に限らず、企業のアカウントを狙ったスピアフィッシングが行われています。自社で利用しているサービスのログイン画面などをブックマークして利用する様に心がけて下さい。また、自社で利用しているサービスについて理解し、緊急事態を装った通知メールなどに騙されない様にするといった対策も考えられます。
企業で利用するWebサービスなどのアカウント情報が盗取されてしまうと不正アクセス、乗っ取り、情報流出やそれらに伴う信用の失墜など様々な損害が発生します。今回ご紹介したスピアフィッシングは、ほんの一例ですが、攻撃手法を理解する一助になれば幸いです。
