Last Updated on 2025-04-04 15:40 by admin
マイクロソフトは2025年4月、税金関連のテーマを悪用した複数のフィッシングキャンペーンについて警告を発した。これらの攻撃では、PDFやQRコードを使用してマルウェアの配布や認証情報の窃取が行われている。
攻撃の特徴として、URL短縮サービスやQRコードなどのリダイレクト方法を悪意のある添付ファイルに含め、ファイルホスティングサービスやビジネスプロフィールページなどの正規サービスを悪用して検出を回避している。また、2024年12月初頭に発見されたRaccoonO365というフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを通じてフィッシングページに誘導する手法が使われている。
マイクロソフトが2025年2月6日に発見したキャンペーンでは、米国の確定申告シーズンを前に数百通のメールが送信され、BruteRatel C4(BRc4)とLatrodectusマルウェアの配布が試みられた。この活動は、以前にBazaLoader、IcedID、Bumblebee、Emotetを配布していた初期アクセスブローカーのStorm-0249によるものとされている。
また、2025年2月12日から28日の間に検出された2つ目のキャンペーンでは、米国の2,300以上の組織、特にエンジニアリング、IT、コンサルティングセクターを対象に税金関連のフィッシングメールが送信された。このメールにはQRコードを含むPDF添付ファイルが特徴で、Microsoft 365のログインページを模倣したサイトに誘導する。
その他にも、AHKBotやGuLoaderなどのマルウェアを拡散する税金関連のフィッシングメールも確認されている。これらの攻撃は、ヨーロッパと米国を標的とした広範な攻撃の一環として行われており、認証情報の窃取につながっている。
マイクロソフトは、これらの攻撃によってもたらされるリスクを軽減するため、組織がフィッシング耐性のある認証方法を採用し、悪意のあるウェブサイトをブロックできるブラウザを使用し、ネットワーク保護を有効にすることを推奨している。
from:Microsoft Warns of Tax-Themed Email Attacks Using PDFs and QR Codes to Deliver Malware
【編集部解説】
今回のマイクロソフトによる警告は、サイバーセキュリティの世界で急速に進化する脅威の実態を浮き彫りにしています。特に注目すべきは、攻撃者たちが確定申告シーズンという時宜を捉え、人々の不安や急ぎの心理を巧みに利用している点です。
RaccoonO365というフィッシング・アズ・ア・サービス(PhaaS)プラットフォームの存在は、サイバー犯罪の「サービス化」が加速していることを示しています。このプラットフォームは2024年12月初頭に初めて発見され、主にMicrosoft 365とOutlookユーザーをターゲットとしており、特にビジネスユーザーやクラウド依存型企業を狙っています。
特筆すべきは攻撃の精巧さです。QRコードやPDF添付ファイルといった一見無害な手段を用い、複数のリダイレクトを経由させることで、セキュリティソフトウェアの検出を回避しています。また、攻撃者は標的を選別し、「価値のある」ターゲットと判断された場合にのみ本格的なマルウェアを送信するという戦略を取っています。
今回の事例では、Rebrandlyを介して短縮されたURLにユーザーをリダイレクトし、最終的には偽のDocusignページに誘導する手法が使われています。ユーザーがダウンロードボタンをクリックすると、脅威アクターによって設定されたフィルタリングルールに基づいて、次のステージへのアクセスが許可されるかどうかが決まります。
また、2025年2月に初めて観察されたLatrodectus 1.9というマルウェアの最新バージョンは、永続性のためのスケジュールされたタスクを再導入し、Windowsコマンドの実行を可能にする機能が追加されています。これにより、攻撃者はより高度な制御を侵害されたシステム上で行えるようになっています。
Palo Alto Networks Unit 42の調査によれば、QRコードから抽出されたURLの分析から、攻撃者はフィッシングドメインを直接指すURLを含めることを避け、代わりにURLリダイレクトメカニズムや正規ウェブサイト上のオープンリダイレクトを悪用していることが明らかになっています。
このような脅威から身を守るためには、組織レベルでのセキュリティ対策が不可欠です。マイクロソフトが推奨するように、フィッシング耐性のある認証方法の採用、悪意のあるウェブサイトをブロックできるブラウザの使用、ネットワーク保護の有効化などが効果的です。
個人レベルでは、特に確定申告シーズンなど時期的な要素を利用した不審なメールには細心の注意を払い、添付ファイルやリンクを安易にクリックしないことが重要です。また、公式サイトへは直接アクセスする習慣をつけ、メールに記載されたリンクからログイン情報を入力することは避けるべきでしょう。
今回の事例は、サイバーセキュリティの脅威が技術的に高度化するだけでなく、心理的な要素も巧みに取り入れながら進化し続けていることを示しています。技術と人間の心理の両面から対策を講じることが、今後ますます重要になってくるでしょう。
【用語解説】
フィッシング・アズ・ア・サービス(PhaaS):
サイバー犯罪者向けにフィッシング攻撃のツールやインフラを提供するサービス。これは、料理のレシピと道具を提供するミールキットのようなものだが、犯罪目的で使用される。
マルウェア:
悪意のあるソフトウェアの総称。コンピュータウイルスやスパイウェアなどが含まれる。
リモートアクセストロイの木馬(RAT):
遠隔操作でコンピュータを制御できる悪意のあるプログラム。
多要素認証(MFA):
複数の認証方法を組み合わせてセキュリティを強化する仕組み。パスワードだけでなく、指紋認証やワンタイムパスワードなども使用する。
BruteRatel C4(BRc4):
レッドチーミング(攻撃側の視点からセキュリティを評価する)ツールとして開発されたが、サイバー攻撃に悪用されるようになった高度な攻撃フレームワーク。
【参考リンク】
マイクロソフト公式サイト(外部)
マイクロソフト製品やサービスの情報、サポート、ダウンロードなどを提供している。
トレンドマイクロ – フィッシング対策(外部)
フィッシング詐欺の概要や対策方法について詳しく解説している。
Palo Alto Networks – Unit 42(外部)サイバー脅威インテリジェンスを提供する研究チームのブログやレポートを公開している。
【編集部後記】
皆さんの会社や個人のメールボックスに、「税金の還付」や「確定申告の不備」といった件名のメールは届いていませんか?今回紹介したような攻撃手法は日々進化しており、日本でも同様の手口が確認されています。ご自身のデジタル資産を守るため、不審なメールの添付ファイルやQRコードには細心の注意を払いましょう。皆さんはどのようなセキュリティ対策を実践していますか?ぜひSNSで共有していただければ幸いです。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
