「Diesel Vortex」フィッシング攻撃、米欧の貨物・物流企業を標的に

「Diesel Vortex」フィッシング攻撃がグローバルな貨物・物流セクターを標的に

セキュリティ研究者によると、Diesel Vortexと呼ばれる金銭目的の脅威グループが、米国および欧州の貨物・物流事業者を狙った大規模なフィッシング攻撃を展開している。この攻撃では、52の悪意あるドメインが使用され、運輸およびサプライチェーンセクターの組織から認証情報を窃取している。

攻撃の概要と技術的詳細

Diesel Vortexグループは、少なくとも2024年初頭から活動しており、スピアフィッシングメールを通じて企業の認証情報を窃取することに注力している。攻撃者は、タイポスクワッティングドメイン（例：正規の物流プラットフォームを模倣したドメイン）を使用し、従業員を偽のログインポータルに誘導して認証情報を入力させる。

主な技術的詳細：

• 52のドメインがこの攻撃に登録されており、多くは物流関連のキーワード（例：freight-portal[.]com、logistics-auth[.]net）を使用。
• フィッシングメールは、配送業者や税関などの信頼できるパートナーを装い、信頼性を高めている。
• 認証情報窃取ページは、正規のログインポータルに酷似しており、多くが侵害されたホスティングサービスまたはバレットプルーフホスティング上にホストされている。
• この攻撃には既知のCVEエクスプロイトは関与しておらず、ソフトウェアの脆弱性ではなく、ソーシャルエンジニアリングに依存している。

影響と動機

この攻撃は金銭目的と見られ、窃取された認証情報は以下の目的で使用される可能性がある：

• **ビジネスメール詐欺（BEC）**による支払いのリダイレクトや機密貨物の横取り。
• サプライチェーン詐欺、例えば請求書の改ざんや貨物の窃盗。
• スパイ活動やネットワーク内でのさらなる侵害活動。

貨物・物流企業は、複雑なサプライチェーン、頻繁な金融取引、サードパーティベンダーへの依存により、フィッシングやBEC攻撃に対して特に脆弱である。

組織向けの推奨対策

貨物・物流セクターのセキュリティチームは、リスクを軽減するために以下の対策を講じるべきである：

1. ドメインの監視とブロック

   • DNSフィルタリングを導入し、Diesel Vortexに関連する既知の悪意あるドメインをブロック。
   • 物流関連キーワードを使用した新規登録ドメインを監視。

2. 従業員教育と意識向上

   • 偽のログインポータルの検出能力を向上させるため、フィッシングシミュレーション訓練を実施。
   • 支払い要求や認証情報の提出に関する検証プロトコルを徹底。

3. 多要素認証（MFA）

   • すべての企業アカウント、特にメールおよび金融システムに対してMFAを強制。
   • 高リスクの役職には、フィッシング耐性のあるMFA（例：FIDO2セキュリティキー）を優先的に導入。

4. メールセキュリティの強化

   • DMARC、DKIM、SPFを導入し、メールスプーフィングを防止。
   • **高度な脅威防御（ATP）**ソリューションを使用して、フィッシングメールを検出・隔離。

5. インシデント対応の準備

   • 認証情報侵害シナリオに対するプレイブックを策定・テスト。
   • 不審なログイン試行や見慣れない地理的位置からのアクセスを監視。

結論

Diesel Vortexフィッシング攻撃は、重要インフラセクターに対するソーシャルエンジニアリング攻撃の持続的な脅威を浮き彫りにしている。貨物・物流事業者は、多層防御アプローチを採用し、技術的対策、従業員教育、プロアクティブな監視を組み合わせてリスクを軽減する必要がある。セキュリティチームは、侵害指標（IOC）を共有し、業界の仲間と協力して攻撃インフラを無力化することが推奨される。

IOCの完全なリストについては、BleepingComputerのオリジナルレポートを参照。