BazarCall|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. BazarCall
             

BazarCall

BazarCall は、サイバー攻撃手法の一つで、BazarLoaderマルウェアと組み合わせた「フィッシング詐欺」と「電話詐欺」を融合させた新しい攻撃キャンペーンの名称です。BazarCall攻撃は、まずフィッシングメールを標的に送りつけ、メール内にある電話番号に電話をかけさせることで、被害者自身に攻撃のトリガーを引かせるという特殊な手法を取っています。電話をかけた被害者に対し、詐欺師がリモートアクセスを許可させ、BazarLoaderなどのマルウェアをインストールさせる流れです。

通常のフィッシング攻撃と異なり、BazarCallは一旦電話連絡を挟むことで、フィッシング対策の自動検出機能やフィルタリングを回避しやすくなっています。このため、一般的な対策が効きづらく、従業員の教育やフィッシング対策と共に、電話詐欺への意識が必要です。

BazarCallの攻撃手法と流れ

BazarCallによる攻撃は、以下のようなステップで進行します。

1. フィッシングメールの送信

攻撃者は標的となる組織の従業員や個人に対し、特定のサービスや契約が自動更新される旨のメールを送ります。メールには「キャンセルのために電話をかけてください」などと記載され、問い合わせ専用の電話番号が明記されていることが特徴です。メール内容は、サブスクリプションの更新や不要なサービスの課金の通知と偽っていることが多く、受信者が不安に駆られて電話をかけるよう誘導します。

2. 電話による偽サポート

受信者がメールに記載された電話番号に連絡すると、詐欺師がサポートセンターのスタッフを装い対応します。詐欺師は「キャンセルのためにはシステムの確認が必要」と称し、被害者にリモートアクセスツールのインストールや操作を指示します。被害者が操作を行うと、詐欺師はシステムにアクセスし、マルウェアをインストールするための準備が整います。

3. BazarLoaderマルウェアのインストール

詐欺師の指示に従った被害者が、リモートアクセスソフトウェアをインストールすると、詐欺師はBazarLoaderなどのマルウェアをシステムに導入します。BazarLoaderはその後、システム内でランサムウェアや情報窃取型マルウェアをダウンロード・インストールし、さらなる被害を発生させる土台となります。

4. ネットワーク内での横展開と追加の攻撃

BazarLoaderがインストールされると、ネットワーク内での感染が進み、追加の攻撃が実行される可能性があります。これにより、ランサムウェア攻撃や機密データの窃取が行われ、企業全体に広範な被害が発生するリスクが高まります。

BazarCallの特徴

BazarCallは、従来のフィッシング手法と比べ、次のような特徴があり、一般的なフィッシング対策では検出しづらくなっています。

  1. 電話を介したフィッシング手法
    フィッシングメールからリンクをクリックさせるのではなく、電話をかけさせることで、受信者の警戒を薄れさせ、攻撃が成功しやすくなっています。また、電話によるサポートを装うことで信頼性が高まるため、従業員や一般ユーザーが騙されやすくなります。
  2. マルウェア感染の間接的な手法
    リモートアクセスツールのインストールを被害者自身に行わせるため、セキュリティシステムの自動検出を回避しやすい手法です。多くの組織がフィッシングリンクや添付ファイルをスキャンする体制を整えていますが、BazarCallはこれを巧妙に回避しています。
  3. BazarLoaderとの組み合わせ
    BazarCallは、BazarLoaderを利用してランサムウェアや情報窃取型マルウェアをシステムに感染させるため、初期感染後の被害が大きく、最終的には大規模なランサムウェア攻撃やデータ漏洩につながることが多いです。
  4. 企業向けの特定標的型攻撃
    BazarCallは主に企業や組織の従業員をターゲットにしており、内部ネットワークへの感染を狙っています。このため、標的型攻撃としての側面も強く、特定の業界や企業に向けてカスタマイズされたフィッシングメールが利用されることが多いです。

BazarCallのリスクと被害

BazarCall攻撃に成功すると、以下のような被害やリスクが生じます。

  1. ランサムウェア感染によるデータ暗号化
    BazarLoaderを通じてランサムウェアがインストールされると、企業内のデータが暗号化され、身代金要求が発生します。バックアップがない場合、データ復旧が困難となります。
  2. 機密情報の流出
    リモートアクセス権限を悪用され、機密情報や認証情報が盗まれるリスクがあります。情報漏洩が発生すると、企業の信頼や評判が低下し、顧客や取引先との関係にも悪影響が出る可能性があります。
  3. 経済的損失
    データ復旧やシステム再構築に多額のコストがかかるだけでなく、ランサムウェアの身代金要求に応じる場合はさらに多額の経済的損失が発生します。また、情報漏洩による法的な罰金も考慮する必要があります。
  4. 企業全体への拡大
    BazarLoaderはネットワーク内で横展開を行うため、個別のデバイスから組織全体へと感染が広がる可能性があります。これにより、全社的なシステム停止や業務中断が発生するリスクが高まります。

BazarCallへの対策

BazarCall攻撃から組織を守るためには、従来のフィッシング対策だけでなく、電話詐欺に対応するための教育や、リモートアクセス管理を強化することが重要です。

  1. 従業員教育と電話詐欺対策
    電話によるサポートを装った詐欺について、従業員に対して教育を行います。正規のサポート電話番号を確認する方法や、リモートアクセス要求に対する警戒を促します。
  2. 多要素認証(MFA)の導入
    重要なシステムやネットワークへのアクセスに多要素認証を導入し、不正アクセスを防止します。特にリモートアクセスでは、二要素認証が効果的です。
  3. フィッシングメール対策の強化
    メールフィルタリングを導入して不審なメールを検出・ブロックし、従業員が不正なメールを開かないようにします。また、メール内の不正電話番号に注意を払うための教育も行います。
  4. リモートアクセス制限
    リモートアクセスが必要な場合には、VPNを通じたアクセスやホワイトリストの設定を行い、信頼できるデバイスと場所からのみ接続できるようにします。
  5. ネットワーク監視とC2通信の遮断
    既知のC2サーバーとの通信を監視・遮断することで、BazarLoaderなどのマルウェアが攻撃者と通信できないようにし、被害を抑制します。

まとめ

BazarCallは、従来のフィッシング攻撃に電話詐欺を組み合わせた新しいサイバー攻撃手法であり、リモートアクセスツールを被害者自身にインストールさせることでマルウェアを侵入させる特殊な戦術を持っています。このため、メールのフィルタリングや自動検出を回避しやすく、従来のフィッシング対策だけでは十分な防御が難しい点が特徴です。

BazarCallから組織を保護するためには、従業員の電話詐欺への警戒心を高め、多要素認証の導入、リモートアクセスの制限、フィッシング対策の強化が重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。