大手サイバーセキュリティー企業Wallarmは、DocuSignのAPIを悪用して本物そっくりの不正請求書を発行するサイバー攻撃が急増していることを浮き彫りにしたレポートを公開した。このレポートでは、サイバー犯罪者の手口が著しく変化し、欺瞞的なメールや悪意のあるリンクを利用する従来のフィッシング詐欺から脱却していることが明らかにされている。代わりに、これらの高度な詐欺では、正規のDocuSignアカウントとテンプレートを利用して有名企業になりすまし、ユーザーやセキュリティーシステムによる検出を効果的に回避している。
これらのサイバー犯罪者の手口は、テンプレートを変更してAPIを直接使用できる正規の有料DocuSignアカウントを作成することだ。次に、ノートンアンチウイルスなどの評判のいいブランドからの文書への電子署名リクエストを模倣した特別に設計されたテンプレートを使用する。偽の請求書には、本物に見えるようにするために、製品の正確な価格と追加料金が記載されていることがよくある。ユーザーがこれらの文書に電子署名すると、攻撃者は署名された文書を使用してDocuSign以外の組織に支払いを要求し、署名された文書をDocuSign経由で財務部門に送信して支払いを依頼できる。
この新しい形態のサイバー犯罪が特に懸念されるのは、請求書がDocuSignのプラットフォームを通じて直接送信されるため、メールサービスやスパム/フィッシングフィルターには正当なものとして表示されるためだ。悪意のあるリンクや添付ファイルはなく、危険なのはリクエスト自体の信憑性だ。過去5力月間で、このような悪意のあるキャンペーンに関するユーザーからの報告が著しく増加しており、DocuSignのコミュニティーフォーラムでは詐欺行為に関する議論が急増している。
DocuSignのコミュニティーフォーラムで報告されたインシデントの長期化と範囲は、これらが1回限りの手動攻撃ではないことを示唆している。犯人は、正当な自動化を目的としたDocuSignのAPIを使用してプロセスを自動化している可能性がある。Envelopes: create APIなどのエンドポイントを使用することで、攻撃者は手動介入を最小限に抑えて大量の不正な請求書を送信できる。このAPIフレンドリーな環境は、企業にとって有益である一方で、悪意のある行為者が意図せずして操作を拡大する手段を提供している。
セキュリティー研究者は、この脅威から保護するために、送信者の資格情報を確認し、購入や金融取引を承認するための厳格な社内手順を実施し、意識向上トレーニングを実施し、異常を監視することを推奨している。また、サービスプロバイダーが定期的に脅威モデリング演習を実施して、潜在的な悪用ポイントを特定し、特定のAPIエンドポイントにレート制限を実装し、APIの動作をプロファイリングして異常なアクティビティーを特定できるツールを使用することも推奨している。
DocuSignのような信頼できるプラットフォームをAPI経由で悪用するというこの新しい傾向は、サイバー犯罪戦略の懸念すべき進化を表している。正当なサービス内に不正行為を埋め込むことで、攻撃者は成功の可能性を高め、検出を困難にする。従って、組織はセキュリティープロトコルを強化し、APIセキュリティーを優先し、警戒の文化を育むことで適応する必要がある。
出典:Wallarm
この製品の詳細については、Wallarm製品ページをご覧ください。
