金銭的動機を持つ脅威アクターが従来のフィッシング手法を逆転させる「ZipLine」キャンペーンが発生している。
攻撃者は企業ウェブサイトの「お問い合わせ」フォームを悪用してパートナーシップの問い合わせを装い、被害者から最初のメール連絡を誘導する。数週間にわたる専門的なメール交換で信頼関係を築いた後、武器化されたzipファイルを送付する。zipファイルには悪意のある.lnkファイルが埋め込まれており、開くとPowerShellコマンドが起動してMixShellというインメモリ・インプラントが展開される。
攻撃者は2015年から2019年に登録された放棄または休眠ドメインを使用し、米国の正規企業名と一致するウェブサイトを運用している。これらの偽サイトは単一テンプレートから複製され、「会社概要」ページにはホワイトハウス執事の写真を創設者として掲載している。主な標的は工業製造業者で、機械、金属加工、部品メーカーが中心だが、ハードウェア、半導体、消費財、バイオテック、製薬会社も対象となっている。
Check Point SoftwareがこのキャンペーンをZipLineとして追跡している。
From: 
‘ZipLine’ Phishers Flip Script as Victims Email First
【編集部解説】
今回のZipLineキャンペーンが注目される理由は、従来のフィッシング攻撃の常識を完全に覆している点です。通常のフィッシング攻撃では攻撃者が一方的にメールを送信しますが、このキャンペーンでは被害者自身が最初にメールを送るよう誘導されています。企業の「お問い合わせ」フォームという信頼されたチャンネルを悪用することで、メールフィルターやレピュテーションベースの検出システムを巧妙に回避する仕組みです。
特に注目すべきは攻撃者の忍耐強さです。Check Point Researchの分析によれば、攻撃者は数週間にわたってビジネス的な会話を継続し、被害者との信頼関係を丁寧に構築してから悪意のあるペイロードを送付しています。このような長期的なアプローチは、従来のフィッシング攻撃と比較してはるかに多くの準備と資源を必要とし、より洗練された攻撃グループの存在を示唆しています。
技術的な側面では、MixShellマルウェアが特に革新的です。このマルウェアは完全にメモリ内で動作し、DNS TXTレコードクエリを使用してコマンド&コントロール通信を行うため、従来の検出手法では発見が困難です。さらに、DNS通信が失敗した場合のHTTPフォールバック機能も備えており、攻撃者との接続を維持する設計となっています。
放棄されたドメインの悪用も重要なポイントです。攻撃者は2015年から2019年に登録された古いドメインを取得し、正規の米国企業名と一致するウェブサイトを構築しています。これらのドメインは長期間のDNSレコードとクリーンな評判を持つため、セキュリティフィルターを通過しやすく、被害者の信頼を得やすい特徴があります。
産業への影響範囲も深刻です。Check Point Researchの分析では、標的の80%以上が米国を拠点としており、工業製造業が全体の最大の割合を占めています。その他、ハードウェア・半導体、消費財・サービス、バイオテック・製薬、エネルギー・公共事業なども標的となっています。米国以外では、シンガポール、日本、スイスの企業も攻撃対象となっています。
最新の攻撃では、AI変革をテーマとした新たな手口も確認されています。攻撃者は「AI Impact Assessment」と称する内部評価の実施を装い、企業のAI導入による業務効率化に関する意見を求めるという、時流に合わせた巧妙な手法を展開しています。
このキャンペーンは、従来のセキュリティ対策の限界を浮き彫りにしています。単発メッセージの分析に依存した検出手法では、数週間にわたって展開される複雑な攻撃を防ぐことは困難です。企業は「お問い合わせ」フォームなどの一見無害なチャンネルも攻撃ベクターとして悪用される可能性があることを認識し、より包括的なセキュリティ戦略の構築が急務となっています。
【用語解説】
ZipLine
攻撃者が被害者に最初のメール送信をさせるフィッシングキャンペーンの名称。Check Point Softwareが命名した。
MixShell
完全にメモリ内で動作するマルウェア。DNS TXTレコードクエリを使ってコマンド&コントロール通信を行い、DNS通信が失敗した場合のHTTPフォールバック機能も備えている高度なインプラント。
PaaS(Platform as a Service)
アプリケーション開発・実行環境をクラウドサービスとして提供するプラットフォーム。
DNS TXT レコード
ドメインネームシステムで使用される、テキスト情報を格納するレコードタイプ。通常は設定情報や検証用途に使用される。
C2(コマンド&コントロール)
攻撃者がマルウェアに感染したコンピュータを遠隔操作するための通信システム。
供給チェーン攻撃
企業のサプライチェーンやパートナー企業を経由して本命のターゲットを攻撃する手法。
【参考リンク】
Check Point Software Technologies(外部)
イスラエル発祥のサイバーセキュリティ企業。1993年設立で、世界100,000以上の組織を保護している。今回のZipLineキャンペーンを発見・追跡した。
Heroku(外部)
Salesforce傘下のクラウドプラットフォーム・アズ・ア・サービス(PaaS)。Ruby、Python、Java等の複数言語をサポートする。攻撃者がマルウェア配信に悪用した。
Dark Reading(外部)
サイバーセキュリティ専門のニュースメディア。2006年設立。セキュリティ専門家や研究者、CISO等が集まる信頼できるオンラインコミュニティとして知られる。
【参考記事】
ZipLine Phishing Campaign Targets U.S. Manufacturing(外部)
Check Point Researchによる詳細な技術分析レポート。攻撃手法、MixShellマルウェアの仕組み、インフラ分析、被害組織の業界分布などを包括的に解説。
New ZipLine Campaign Targets Critical Manufacturing Firms(外部)
製造業を標的とした攻撃の詳細と、MixShellマルウェアの技術的特徴について解説。DNSトンネリングによる通信手法や永続化メカニズムの分析を含む。
MixShell Malware Delivered via Contact Forms(外部)
米国サプライチェーン製造業者を標的とした攻撃の概要。お問い合わせフォーム悪用による初期侵入手法とTransferLoaderキャンペーンとの関連性について報告。
ZipLine cyber attack uses White House butler pic(外部)
キャンペーンの地理的分布(米国80%)と業界別内訳(工業製造業46%、ハードウェア・半導体18%等)の詳細な統計データを提供。
【編集部後記】
今回のZipLineキャンペーンを読んで、皆さんの職場のお問い合わせフォームは大丈夫だろうかと不安になった方もいらっしゃるのではないでしょうか。私たち編集部も、この攻撃手法の巧妙さには驚かされました。数週間もかけて信頼関係を構築してから攻撃するとは、従来のセキュリティ常識が通用しない時代に入っているのかもしれません。
読者の皆さんは、自社のセキュリティ対策をどのように見直していますか?また、このような新しい攻撃手法に対して、どのような備えが必要だとお考えでしょうか。皆さんの職場でのセキュリティ体験談や対策のアイデアがあれば、ぜひSNSでシェアしていただけると嬉しいです。
