重要ポイント
- プルーフポイントは、大学生を標的にした詐欺の求人情報を送る一連のキャンペーンを確認しました。
- 多くは生命科学や健康分野の組織の関係者を装ったものです。
- キャンペーンは2023年3月に始まり、2023年6月末まで続きました。
- 攻撃者は、メッセージの受信者を職務内容に関するビデオ通話に誘おうとしますが、キャンペーンの最終的な目標は、前金詐欺(AFF)にあるようです。
概要
さまざまな産業でレイオフが広がっている今、プルーフポイントの調査と分析によると、攻撃者は求職者からお金を奪おうとする求人詐欺によって、労働市場から搾取を狙い続けています。
プルーフポイントは2023年5月、北米の大学生を標的とし、一連の求人情報のEメールをおとりに用いた攻撃キャンペーンを観測しました。Eメールはさまざまな組織から送られているように見せかけており、主に生命科学、ヘルスケア、生物工学分野に関連していますが、それと無関係の分野のものもあります。この攻撃キャンペーンは2023年6月まで続きました。
メールの内容は、リモートでのデータ入力の仕事に関し、面接を要求するものです。メールには通常、組織、募集する役職、給与、機器の仕様などを記載したPDFが添付されています。
送信者は、職務内容に関する詳しい説明と準備のために、サードパーティのプラットフォームを使ったビデオ面接またはチャットでのやり取りをしたいと言って受信者を誘います。プルーフポイントではビデオ面接中にどんな要求がなされるか確認できませんでしたが、リサーチャーが過去の関連する活動と照らし合わせて調べた結果、攻撃者は受信者に対し、必要な機器を購入する費用の前払いを求める可能性が高いそうです。納めた費用は攻撃者が回収します。
プルーフポイントの脅威データや外部ソースのデータを2023年3月かそれ以前にさかのぼって調べたレトロスペクティブ分析の結果、同じ生命科学分野での前金詐欺(AFF)の関連・類似キャンペーンが複数確認されました。似たような求人詐欺モデルは、何年も前から行われています。
大学は頻繁に、こうした雇用詐欺の主要な標的となります。攻撃者はさまざまな理由で大学を標的にします。学生にはフレキシブルなリモートワークを受け入れる人が比較的多いこと、外国からの留学生は英語を母語としていないため詐欺メールの徴候に気づかない可能性があること、インフレや教育関連費の高騰で学生が経済的に苦しい状況に立たされており、手っ取り早く稼げるという文句をより魅力的に感じやすいことなどです。
プルーフポイントは、以前にも大学を標的とした雇用詐欺の詳細に関する記事を発表しています。しかしながら、科学・テクノロジー分野のスプーフィングを主とした最近のキャンペーンは前例がありません。
キャンペーンの詳細
メッセージは次のように装ったさまざまな送信者から送られます。
russ@valentbiosciencescareers[.]com
linda@ensyscecareers[.]com
robin@agcbiocareers[.]com
件名はすべて面接に関連したものです。例:
- re: interview(re: 面接について)
- interview invite(面接のご案内)
- invitation to interview (FRND)(面接のお誘い)
図1: 大学生を標的に生命科学企業になりすまし、採用面接をおとりに使う
攻撃者は、合法な企業に属しているように見せかけた偽のドメインを作成します。多くの場合、ドメイン名に「careers」が含まれます。なりすます対象は、主に生命科学、ヘルスケア、生命工学とその関連産業の組織です。Eメールアドレスは通常、攻撃者がなりすまそうとしている会社の実在の人物に見せかけたものです。(なりすましに使われたLinkedInユーザーが、詐欺メッセージを受信する可能性のある人に警告できるよう、LinkedInのプロフィールを更新した事例もあります。)
メッセージには会社や提案する役職に関する詳しい情報を載せたPDFが添付されます。 プルーフポイントは、さまざまな会社を装った複数のPDFサンプルを確認しました。 それらのPDFは、ブランドロゴ、会社名、ウェブサイト、所在地など一部の情報だけ変えられており、残りはすべて同じ内容でした。 変更する部分は常に太字になっており、攻撃者が文書を「パーソナライズ」するために、さまざまな会社名で大量のPDFを自動作成したことが窺えます。
図2: 科学企業を装ったおとりPDFの例。ブランド、所在地、ウェブサイトを除いて同じ内容が書かれている
いずれのPDFにも、必要なハードウェアおよびソフトウェア一覧のページが含まれています。その合計額は最大7000ドルにのぼりました。
図3: 偽の求人情報で攻撃者が提示したハードウェアおよびソフトウェア一覧の例
そして攻撃者は受信者に対し、役職について詳しく話すためのオンライン面接の日取りを決めるよう促します。 プルーフポイントではその後何が行われるか確認できませんでしたが、以下の2点が考えられます。
- 受信者に対し、初回の給与支払い時に払い戻すと言ってコンピュータやその他機器の費用の前払いを求める
- 攻撃者が指定する「サプライヤー」からコンピュータやその他の機器を購入するための偽造小切手を発行し、後にその小切手が不払いになる
以上が、雇用詐欺を行う攻撃者の典型的な行動です。 攻撃者が、受信者が購入するとされる物品の「輸送費」を暗号通貨で支払うよう求める事例もありました。
このクラスターに関連する脅威のほとんどは生命科学、生命工学、健康分野に関するものですが、プルーフポイントは、類似の戦術、テクニック、手順を用いた他分野の事例も確認しました。
まとめ
プルーフポイントは、確認されたペイロード、被害者情報、キャンペーンやメッセージの分量に基づき、今回の件は高確率で金銭を目的としたサイバー犯罪活動のクラスターであると判断します。 今回のキャンペーンは主に大学生、特に現在職探しをしている学生を餌食としたものです。
現在職探しをしており、採用担当者や人事関係者と連絡をとっている人はもちろん、すべての人がこの種の脅威に気をつけるべきです。 合法な雇用者であれば、雇った人が勤務を開始する前に小切手を送ったり、機器を購入するための送金を求めたりしません。 詐欺の採用情報に見られる主な要素は次のとおりです。
- 合法な組織になりすましたGmailやHotmailなどのフリーメールアカウントから、唐突に求人情報が届く
- なりすました企業の公式ウェブサイトと異なるドメインを使ったEメールアドレスから求人情報が届く
- 職務内容に関する情報がほとんどなく、面接での質問もほとんどないか、極めて単純な質問に限られている
- PDFやその他の文書に文法や綴りの誤りがあり、組織や職務内容に関する情報がごく一般的なものにとどまっている
- 送信者と連絡を取り始めると、直ちに「小切手」が送付される
- 送信者が個人のEメールやチャットのアカウントに移動して求人に関する話を続けようとする
- 「簡単なタスク」を実行するよう求める文言。モバイルアプリやビットコインでの送金が含まれる場合に多い。
最近の侵害痕跡情報
痕跡 | 説明 |
---|---|
agcbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
amicusrxcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
xeneticbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
aleralabscareers[.]com |
雇用詐欺に使われるなりすましドメイン |
ensyscecareers[.]com |
雇用詐欺に使われるなりすましドメイン |
amberstonebiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
cernerenvizacareers[.]com |
雇用詐欺に使われるなりすましドメイン |
patientpointcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
geisingercareer[.]org |
雇用詐欺に使われるなりすましドメイン |
lindybiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
tbcrtampacareers[.]com |
雇用詐欺に使われるなりすましドメイン |
twinstrandbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
catalystcrcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
alamarbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
ensyscecareers[.]com |
雇用詐欺に使われるなりすましドメイン |
ventyxbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
valentbiosciencescareers[.]com |
雇用詐欺に使われるなりすましドメイン |
cnshealthcaree[.]org |
雇用詐欺に使われるなりすましドメイン |
miradrycareers[.]com |
雇用詐欺に使われるなりすましドメイン |
cocrystalpharmacareers[.]com |
雇用詐欺に使われるなりすましドメイン |
taelifesciencescareers[.]com |
雇用詐欺に使われるなりすましドメイン |
akadeumcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
arborbioscicareers[.]com |
雇用詐欺に使われるなりすましドメイン |
endrainccareers[.]com |
雇用詐欺に使われるなりすましドメイン |
ethos-labscareers[.]com |
雇用詐欺に使われるなりすましドメイン |
irvineclinicalcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
juneaubiosciencescareers[.]com |
雇用詐欺に使われるなりすましドメイン |
nuviewlifesciencescareers[.]com |
雇用詐欺に使われるなりすましドメイン |
quansysbiocareers[.]com |
雇用詐欺に使われるなりすましドメイン |
vialcareers[.]com |
雇用詐欺に使われるなりすましドメイン |
●あわせて読みたい