Last Updated on 2025-05-10 07:36 by admin
Malwarebytesのセキュリティ研究者Jérôme Seguraは2025年5月8日、給与計算・人事プラットフォームを標的とした新たな高度なフィッシング攻撃を発見したと報告した。この攻撃では、Deelなどの正規サービスになりすました検索広告を使用し、ユーザーをフィッシングサイトに誘導している。
このフィッシングキットは単に認証情報を盗むだけでなく、二要素認証を回避し、MessageBirdの子会社であるPusherが提供するWebSocketサービスを悪用して銀行・支払い情報を操作する能力を持っている。
FBIも2025年4月に公共サービスアナウンス(PSA250424)を発表し、サイバー犯罪者が検索エンジン広告を使って正規ウェブサイトになりすまし、給与計算、失業プログラム、健康貯蓄口座などを標的にしていると警告した。
攻撃者は「deel login」などのキーワードに対するGoogle検索広告を使用し、「deel[.]za[.]com」などのURLを経由してフィッシングサイトにリダイレクトさせている。フィッシングページはDeelのログインページを模倣しているが、「Googleでログイン」と「QRコードで続ける」オプションが無効化されている。
このフィッシングキットは以下の特徴で追跡可能である
- Obfuscator.ioによる難読化
- Pusher WebSocketsの使用
- Worker.jsライブラリ
- kel.js/otp.js/auth.js/jquery.jsライブラリ
同様の手法を使用した攻撃は2024年7月から確認されており、レーダーの下を飛んでいたと思われる。Justworks、Marqeta、Shopify、OmniFlex(Worldpay)など複数の給与計算・HR・決済プラットフォームが標的となっている。
Malwarebytesは、Browser Guardなどのブラウザ拡張機能を使用することで、これらの攻撃に関連する広告やスキャム・マルウェアサイトをブロックできると説明している。
References:
Cyber criminals impersonate payroll, HR and benefits platforms to steal information and funds
【編集部解説】
Malwarebytesが報告した給与計算・人事プラットフォームを標的とする高度なフィッシング攻撃について、複数の情報源を確認したところ、この脅威は実際に深刻化していることが確認できました。FBIの公式警告(PSA250424)も発出されており、この種の攻撃が単発的なものではなく、組織的な犯罪活動の一環として広がっていることを示しています。
特に注目すべきは、この攻撃が単なる認証情報の窃取を超えて、リアルタイム通信技術を悪用して被害者の銀行情報を直接操作しようとしている点です。編集部の追加調査によれば、2025年第1四半期にはフィッシングが初期侵入経路として大幅に増加しているとの報告もあります。
この攻撃手法が特に危険な理由は、従来のセキュリティ対策を巧みに回避する複数の要素を組み合わせている点にあります。
まず、検索広告の悪用です。多くのユーザーは検索エンジンの上位表示結果を信頼する傾向がありますが、攻撃者はGoogle広告のような正規プラットフォームを利用することで、攻撃に信頼性を持たせています。
次に、二要素認証(2FA)の突破手法です。2FAは通常、強力なセキュリティ対策ですが、この攻撃では被害者を騙して2FAコードを入力させることで、この防御を無効化しています。これは「中間者攻撃」の一種で、技術的対策だけでは防ぎきれない脅威です。
さらに、PusherのようなWebSocketサービスの悪用も重要なポイントです。これらは多くの正規アプリケーションで使用されているため、セキュリティツールがこれらの通信を悪意あるものとして検出するのが困難です。攻撃者は正規のインフラを「武器化」しているのです。
編集部の調査によれば、サイバー犯罪者は特にHR、給与計算、財務チームを標的にしており、AIによる防御を回避するための戦術を進化させています。これは、単に技術的な対策だけでなく、人的要素を含めた総合的なセキュリティアプローチの必要性を示しています。
日本企業にとっても、この脅威は他人事ではありません。特に国際的な取引や海外人材の採用が増加する中で、給与計算・人事システムは重要な標的となり得ます。また、この種の攻撃手法は金融機関やEC事業者にも応用される可能性が高く、警戒が必要です。
企業が取るべき対策としては、ドメインスプーフィングの監視、適切な通知システムの実装、そしてなにより従業員教育の強化が挙げられます。特に、検索結果からではなく、ブックマークや直接URLを入力する習慣づけ、アドレスバーのドメイン名確認、パスワードマネージャーの活用などの基本的なセキュリティ習慣が重要です。
最終的に、この種の高度なフィッシング攻撃は、セキュリティが技術だけの問題ではなく、人間の行動や組織文化にも深く関わる課題であることを示しています。テクノロジーの進化とともに、私たちのセキュリティ意識も進化させていく必要があるでしょう。
【用語解説】
Pusher(プッシャー):
リアルタイム通信を可能にするクラウドサービス。チャットアプリやリアルタイム通知などを簡単に実装できる。WebSocketという技術を使い、サーバーからクライアントへ即時にデータを送信する。例えるなら、郵便(従来の通信)ではなく、常時接続された専用電話(WebSocket)のようなもの。
WebSocket:
従来のHTTP通信と異なり、一度接続を確立すると双方向でリアルタイム通信が可能になる技術。例えるなら、毎回電話をかけ直す(HTTP)のではなく、通話を繋ぎっぱなしにする(WebSocket)ようなもの。
二要素認証(2FA):
パスワードに加え、別の要素(SMSコードなど)も必要とする認証方式。例えるなら、鍵(パスワード)だけでなく、指紋認証(第二要素)も必要な金庫のようなもの。
フィッシングキット:
フィッシング詐欺を実行するためのツール一式。偽サイトの作成から情報収集までの機能を持つ。例えるなら、偽の銀行窓口を設置するための道具一式のようなもの。
obfuscator.io:
コードを難読化するツール。解析されにくくするために使われる。例えるなら、文書を暗号化して第三者に内容を理解されにくくするようなもの。
ウェブワーカー(Web Worker):
ブラウザのメイン処理を妨げずに裏で動作するJavaScriptプログラム。例えるなら、メインの仕事をしながら、別の従業員に裏で別の作業をさせるようなもの。
【参考リンク】
Deel公式ウェブサイト(外部)
グローバルな給与計算・人事管理プラットフォーム。130か国以上で従業員の雇用管理を提供
MessageBird(現Bird)公式ウェブサイト(外部)
クラウドコミュニケーションプラットフォーム。Pusherの親会社
Justworks公式ウェブサイト(外部)
中小企業向けの給与計算、福利厚生、HR、コンプライアンスを一元管理するプラットフォーム
Malwarebytes公式ウェブサイト(外部)
サイバーセキュリティ企業。マルウェア対策ソフトウェアやブラウザ保護ツールを提供
【参考動画】
【編集部後記】
皆さんは普段、業務システムへのログインをどのように行っていますか?検索からリンクをたどる方も多いのではないでしょうか。今回のような高度なフィッシング攻撃は、私たちの「便利な習慣」を狙い撃ちにしています。ブックマークの活用や、URLの直接入力など、少しの手間が大きな安全につながることもあります。皆さんのオンラインセキュリティ習慣について、一度見直してみてはいかがでしょうか?innovaTopiaでは今後も、最新のセキュリティ脅威と実用的な対策をお届けしていきます。
【関連記事】
サイバーセキュリティニュースをinnovaTopiaでもっと読む
