マイクロソフトとCloudflareは、フィッシングサービス「RaccoonO365」に関連する338のウェブサイトを押収した。同社デジタル犯罪対策部門は、このサービスを「Microsoft 365のユーザー名とパスワードを盗むために使用される最も急成長しているツール」と呼んでいる。
犯罪組織のリーダーはナイジェリア在住のJoshua Ogundipeと特定された。RaccoonO365 Suiteは30日プラン335ドル、90日プラン999ドルで、850人以上が参加するプライベートTelegramチャンネルで販売されていた。2024年7月以降、このサービスによって94カ国から少なくとも5,000件のマイクロソフト認証情報が盗まれた。また、Ogundipeらはこのサービス販売を通じて、少なくとも10万ドルの暗号通貨収益を得たとされる。
このサービスは1日最大9,000件のターゲットメールアドレス入力、多要素認証バイパス、持続的システムアクセス機能を提供する。最近では新しいAI駆動サービス「RaccoonO365 AI-MailCheck」の宣伝も開始した。税金関連キャンペーンでは2,300以上の米国組織、20の米国医療機関がターゲットとなった。
From: 
Microsoft, Cloudflare shut down RaccoonO365 phishing kit operation
【編集部解説】
今回のRaccoonO365摘発は、サイバー犯罪の構造的変化を象徴する事件です。従来のハッカーが個人で攻撃を行う時代から、組織化されたサービス提供型犯罪への移行が鮮明に現れています。
特に注目すべきは「サイバー犯罪の民主化」です。RaccoonO365は月額335ドルから999ドルという比較的低価格で高度なフィッシング機能を提供し、技術的知識のない犯罪者でも大規模な攻撃を実行可能にしました。これにより、サイバー犯罪の参入障壁が劇的に下がっています。
1日最大9,000件のメールアドレス処理能力と多要素認証回避機能は、従来の防御策が無力化されつつあることを示唆しています。企業のセキュリティ担当者にとって、MFAは最後の砦とされてきましたが、この前提が揺らいでいるのです。
さらに深刻なのは、新たに登場したAI駆動サービス「RaccoonO365 AI-MailCheck」の存在です。AIがフィッシング攻撃の精度と規模を飛躍的に向上させる可能性があり、従来の検知システムでは対応が困難になることが予想されます。
今回の摘発では、マイクロソフトとCloudflareの連携による迅速な対応が功を奏しました。しかし、主犯のJoshua Ogundipeがナイジェリアに在住し法的処罰を免れている現状は、国際的なサイバー犯罪対策の限界を浮き彫りにしています。
この事件は企業に対し、従来のセキュリティ対策の見直しを迫るものです。技術的防御だけでなく、従業員教育や多層防御戦略の重要性がこれまで以上に高まっています。
【用語解説】
デジタル犯罪対策部門(DCU)
マイクロソフト社内の専門組織で、同社製品やサービスを悪用したサイバー犯罪の調査・対策を行う部門である。
Health-ISAC
医療・公衆衛生分野のサイバーセキュリティ情報共有・分析センター(非営利組織)。今回の事件で訴訟の原告として名を連ねている。
Telegram
プライバシーを重視したメッセージングアプリで、暗号化機能やプライベートチャンネル機能を持つため、犯罪組織が連絡手段として悪用するケースが多い。
【参考リンク】
Microsoft Security Blog(外部)
マイクロソフトの公式セキュリティブログで、同社のセキュリティ製品や脅威情報、対策事例を発信している。
Cloudflare(外部)
世界最大級のCDN・セキュリティサービス企業で、DDoS攻撃対策やWebアプリケーションファイアウォールなどを提供している。
The Register(外部)
英国を拠点とするIT業界専門メディアで、テクノロジー関連のニュースや分析記事を配信している。
【参考記事】
Microsoft seizes 338 websites to disrupt rapidly growing ‘RaccoonO365’ phishing service(外部)
マイクロソフト公式ブログによる発表記事。RaccoonO365による5,000件以上の認証情報窃取と10万ドルの収益について詳述。
Microsoft seizes hundreds of phishing sites tied to massive credential theft operation(外部)
サイバーセキュリティ専門メディアによる報道。94カ国からの認証情報窃取と料金体系について詳細に報告。
Microsoft, Cloudflare disrupt RaccoonO365 credential stealing tool(外部)
The Recordによる報道。AI駆動の新サービス「RaccoonO365 AI-MailCheck」の登場について詳述している。
【編集部後記】
今年4月に私たちがお伝えしたRaccoonO365による税金関連フィッシング攻撃の警告記事を覚えていらっしゃるでしょうか。あの時点では「脅威が拡大中」という段階でしたが、わずか5か月後、ついにマイクロソフトとCloudflareが連携して338サイトの大規模摘発に踏み切りました。この迅速な展開は、サイバーセキュリティ業界の対応速度が格段に向上していることを示しています。
特に印象的だったのは、過去記事では「警告段階」だった脅威が、今回は主犯Joshua Ogundipeの特定、具体的な被害規模の公表、そして国際的な法的措置まで発展したことです。月額数百ドルで高度な攻撃が可能になる「サイバー犯罪の民主化」という現象を、私たち自身も肌で感じております。
皆さんの組織では、4月の警告記事以降、どのようなセキュリティ対策の見直しを行われましたか。また、AIを活用した新しい攻撃手法「RaccoonO365 AI-MailCheck」の登場について、どのような備えが必要だと思われるでしょうか。
読者の皆さんと一緒に、変化し続けるサイバー脅威の世界について学び、考えていけたらと思います。
