Technique - T1194-

T1194 - Spearphishing via Service

概要

Spearphishing via service is a specific variant of spearphishing. It is different from other forms of spearphishing in that it employs the use of third party services rather than directly via enterprise email channels.

All forms of spearphishing are electronically delivered social engineering targeted at a specific individual, company, or industry. In this scenario, adversaries send messages through various social media services, personal webmail, and other non-enterprise controlled services. These services are more likely to have a less-strict security policy than an enterprise. As with most kinds of spearphishing, the goal is to generate rapport with the target or get the target's interest in some way. Adversaries will create fake social media accounts and message employees for potential job opportunities. Doing so allows a plausible reason for asking about services, policies, and software that's running in an environment. The adversary can then send malicious links or attachments through these services.

A common example is to build rapport with a target via social media, then send content to a personal webmail service that the target uses on their work computer. This allows an adversary to bypass some email restrictions on the work account, and the target is more likely to open the file since it's something they were expecting. If the payload doesn't work as expected, the adversary can continue normal communications and troubleshoot with the target on how to get it working.

管理者によるコメント

T1194「Spearphishing Service」（スピアフィッシング・サービス） は、これまでのスピアフィッシング（メール経由）とは異なり、Facebook、LinkedIn、Twitter、Slackなどの 「サードパーティのサービスやSNSのダイレクトメッセージ」 を利用して標的に接触する手法です。

1. 概要

この手法で攻撃者は、「従来のメールセキュリティ製品を完全に回避した初期侵入」を実現します。

何を実現できるのか

信頼の構築: SNS上のプロフィールを偽装し、共通の知人や業界関係者を装うことで、メールよりも高い信頼関係を短期間で築く。
検知のバイパス: 企業のメールゲートウェイ（サンドボックスやURLフィルタリング）を通らないため、悪意あるリンクやファイルを直接送り込むことができる。
心理的隙の悪用: 「SNSはプライベートなもの、あるいは仕事上のネットワーキング用」という認識を逆手に取り、警戒心の低い状態でクリックさせる。

2. 攻撃の流れ

攻撃者は、まず「信頼できる身分」を確立することから始めます。

プロフィールの偽装: ターゲットが関心を持ちそうな専門家、採用担当者、あるいは実在の人物をコピーしたアカウントを作成します。
ネットワークの構築: ターゲットに直接コンタクトを取る前に、ターゲットの同僚や友人に「友達申請」を送り、共通の知人がいるように見せかけます。
メッセージの送信: SNSのDMやチャット機能を使用してメッセージを送ります。
- 例（LinkedIn）：「貴社のポートフォリオに興味があります。この資料（リンク/添付）を確認いただけますか？」
- 例（Slack/Discord）：「共有設定を間違えたかもしれないので、このファイルが開けるか見てほしい」
侵害の実行: メッセージ内のリンク（T1566.002）を踏ませるか、ファイルをダウンロード（T1566.001）させることで、マルウェア感染や認証情報窃取を完了させます。

3. 防御・対策

企業ネットワークの「外」で行われる攻撃であるため、エンドポイントでの保護と教育が重要です。

エンドポイントでのURL/ファイル検査: ブラウザ保護機能やEDRを強化し、SNS経由でダウンロードされたファイルやアクセスしたリンクを厳格にスキャンします。
SNS利用ポリシーの策定: 業務で使用する端末でのSNS利用範囲を定め、不審なDMに対する報告体制を整備します。
多要素認証 (MFA) の徹底: SNS経由で偽のログイン画面に誘導されても、パスワード以外の認証要素で被害を最小限に抑えます。
SNSのプライバシー設定: 従業員に対し、自身のプロフィールや連絡先情報を必要以上に公開しないよう推奨します。

4. 重要ポイント

SNSの「信頼性」を逆手に取る: 攻撃者はしばしば数週間から数ヶ月かけてターゲットと「チャット」を交わし、十分に信頼させてから攻撃ファイルを送る（豚の屠殺/Pig Butchering的なアプローチ）ことがあります。
シャドーITの危険性: 会社が管理していないチャットツール（個人のSlackなど）を業務で使っている場合、この手法の絶好の標的になります。

5. 関連する主なCWE

CWE-287: Improper Authentication: 偽装アカウントによるなりすまし。
CWE-451: User Interface Misrepresentation of Critical Information: SNSの画面を模倣したフィッシングサイト。

6. 関連する代表的なCVE

T1194は「サービスの利用」という行動を指すため、特定のCVEを突くものではありませんが、以下のグループによる活動が有名です。

Lazarus Group (北朝鮮): LinkedInで採用担当者を装い、仕事の勧誘を装ってマルウェア（PDFに見せかけた実行ファイル）をDMで送る攻撃（Operation Dream Job）を執拗に行っています。
APT34 (イラン): LinkedInの専門家コミュニティを悪用し、学術的な議論やキャリア相談を装ってターゲットに接近します。
Evilnum: 金融業界の従業員に対し、WhatsAppやTelegramなどのチャットサービスを通じて悪意のあるリンクを送ることで知られています。

調査のポイント

組織内で被害が出た場合、メールログには何も残りません。プロキシログやEDRのブラウザ履歴から、SNSへのアクセスとそれに続く不審なダウンロードがないかを確認する必要があります。

分析

この攻撃手法を利用する脅威アクター

この攻撃手法を利用する脅威アクターは登録されていません。

攻撃手法 – 脅威アクター Graph

← Technique一覧に戻る ← Tactics一覧に戻る

Trusted Design