エネルギー業界を狙った高度なSharePointフィッシング攻撃キャンペーン

脅威アクターがSharePointを悪用しエネルギー業界を標的とした攻撃を実行

セキュリティ研究者は、Microsoft SharePointを悪用した新たなフィッシングキャンペーンを特定した。この攻撃は、Adversary-in-the-Middle (AitM) フィッシングおよびビジネスメール詐欺 (BEC) の手法を用い、エネルギー業界の組織を標的としている。このキャンペーンは、認証情報の窃取やペイロード配信における攻撃手法の進化を浮き彫りにしている。

攻撃の技術的詳細

脅威アクターは、SharePointの正規のファイル共有機能を悪用し、悪意のあるペイロードを配信している。SharePointの通知に見せかけたフィッシングリンクを埋め込むことで、従来のメールセキュリティフィルターを回避する。被害者がリンクをクリックすると、偽のログインページにリダイレクトされ、リアルタイムで認証情報が窃取される。

このキャンペーンの主な特徴は以下の通り：

• AitMフィッシング：攻撃者は認証セッションを傍受し、認証情報やセッショントークンを窃取する。
• BEC戦術：侵害されたアカウントを利用し、不正な金融取引や社内フィッシングを実行する。
• 正規サービスの悪用：SharePointの信頼性を悪用することで、被害者の警戒心を低下させ、攻撃成功率を高める。

エネルギー業界への影響

エネルギー業界は、重要インフラとしての役割から高価値な標的となっている。攻撃が成功した場合、以下のリスクが生じる可能性がある：

• 機密性の高い運用システムへの不正アクセス
• BECスキームによる金融詐欺
• 認証情報の侵害によるエネルギー供給チェーンの混乱

防御策の推奨事項

エネルギー業界やその他の高リスク業界のセキュリティチームは、以下の対策を講じるべきである：

1. 多要素認証 (MFA) の導入：SharePointやメールアカウントに対してMFAを強制し、認証情報の窃取を防ぐ。
2. 異常なアクティビティの監視：行動分析を活用し、不審なログインパターンやファイル共有の挙動を検出する。
3. 従業員教育の実施：フィッシング対策トレーニングを通じて、悪意のあるSharePoint通知を見分ける能力を向上させる。
4. メールセキュリティの強化：高度な脅威防御を導入し、AitMフィッシング攻撃がエンドユーザーに到達する前にブロックする。
5. SharePoint共有の制限：外部とのファイル共有権限を制限し、露出リスクを低減する。

研究者はこのキャンペーンの追跡を続けており、調査の進展に伴いさらなる詳細が明らかになる可能性がある。組織は、SharePointのような信頼されたプラットフォームを標的とした進化するフィッシング手法に対して警戒を怠らないよう強く推奨される。