欧米でインサイダー情報を狙う攻撃 - メールのパスワードを狙う単純な手口、今後は日本も

最大の特徴は、メールのみをターゲットにしていることだ。通常のAPT(標的型攻撃)のように、マルウェアを忍び込ませて内部から情報を取るのではなく、単純にメールのIDとパスワードを盗みとり、メールの文書を読んだり、フィッシングメールを送ったりする。

具体的にはM&Aを行う企業・コンサルティング会社に対して、標的型メールでID・パスワードを盗みとっている。M&Aの発表直前にフィッシングメールを送る動きもあり、実際にM&Aの発表で株価が動いているため、犯人グループはここで利益を得た可能性がある。

メールのIDとパスワードを盗み取る方法は2種類ある。1つはフィッシングサイトへの誘導で、ターゲットに向けて偽のOutlook Web Acess(OWA)のリンクを送る。

OWAは、Microsoft Exchange ServerのWebメールサービスで、企業で使われているExchangeのメールやカレンダーに対して、ブラウザからアクセスできるものだ。犯罪グループが用意した偽のOWAサイトへ誘導し、ターゲットのIDとパスワードを盗み取る。もう1つの方法は、添付ファイルでIDとパスワードを盗む方法だ。