SentinelOneは米国時間2025年10月21日、ウクライナの戦争救援活動に関連する組織を標的としたスピアフィッシングキャンペーン「PhantomCaptcha」を公開した。
攻撃は2025年10月8日に発生した。標的となったのは、国際赤十字、ノルウェー難民評議会、国連児童基金(UNICEF)ウクライナ事務所、欧州評議会のウクライナ損害登録機関、およびドネツク、ドニプロペトロウシク、ポルタヴァ、ミコライウ地域のウクライナ地方行政機関の個別メンバーである。
攻撃者はウクライナ大統領府を偽装したフィッシングメールに8ページのPDF文書を添付し、埋め込みリンクをクリックすると偽のZoomサイト「zoomconference[.]app」にリダイレクトされる。被害者は偽のCloudflare CAPTCHAページを経由してPowerShellコマンドを実行するよう誘導され、最終的にロシア所有のインフラストラクチャ上にホストされたWebSocketベースのリモートアクセス型トロイの木馬(RAT)が配信される。
インフラストラクチャの準備は2025年3月27日に開始され、ドメイン「goodhillsenterprise[.]com」が登録されたが、「zoomconference[.]app」は10月8日の1日間のみアクティブだった。
From: 
Ukraine Aid Groups Targeted Through Fake Zoom Meetings and PhantomCaptcha Campaign
【編集部解説】
今回のPhantomCaptchaキャンペーンは、人道支援組織を標的とした攻撃という点で極めて憂慮すべき事案です。攻撃者が国際赤十字やUNICEFといった組織を狙った背景には、これらの団体が持つ機密性の高い情報へのアクセス意図があると考えられます。
注目すべきは「ClickFix」と呼ばれる攻撃手法の巧妙さです。2024年に初めて観測されたこの手法は、2025年第1四半期から第2四半期にかけて517%増加しており、初期アクセス手法として、フィッシングに次ぐ第2位の攻撃ベクトルとなっています。偽のCAPTCHA認証画面を通じて、ユーザー自身に悪意あるPowerShellコマンドを実行させる仕組みは、従来の自動セキュリティツールでは検知が困難です。
WebSocketを使用したRAT(リモートアクセス型トロイの木馬)も、本攻撃の技術的特徴です。WebSocketは通常のHTTP通信と異なり、持続的な双方向通信チャネルを確立するため、攻撃者は頻繁な接続を繰り返すことなくリアルタイムでコマンドを送受信できます。ポート80や443を使用するため、正規のWebトラフィックに紛れ込みやすく、ディープパケットインスペクションツールでも検知が難しいという利点があります。
攻撃の準備期間も見逃せません。ドメイン登録から実際の攻撃実行まで6か月間を費やし、攻撃用インフラは1日だけ稼働させるという運用は、高度な計画性と検知回避への強いコミットメントを示しています。ロシアに関連するCOLDRIVERグループとの手法の類似性も指摘されていますが、明確な帰属は確認されていません。
人道支援セクターへのサイバー攻撃は、被災者支援活動そのものを妨害する可能性があり、サイバーセキュリティが単なる技術的課題ではなく、人命に関わる重大な問題であることを改めて示しています。
【用語解説】
スピアフィッシング
特定の個人や組織を標的とした精巧なフィッシング攻撃である。一般的なフィッシングとは異なり、標的の役職や業務内容に関する情報を事前に収集し、信頼できる送信者を装った高度にカスタマイズされたメールを送信する手法だ。
ClickFix
2024年に初めて観測された新しいソーシャルエンジニアリング攻撃手法である。偽のCAPTCHA認証画面やエラーメッセージを表示し、ユーザー自身に悪意あるPowerShellコマンドをコピー&ペーストさせる。従来の自動検知システムでは防ぎにくい特徴を持つ。
RAT(リモートアクセス型トロイの木馬)
攻撃者が遠隔地から侵害されたコンピュータを完全に制御できるマルウェアである。キーストロークの記録、ファイルの窃取、スクリーンショットの取得、追加マルウェアのインストールなど、多様な悪意ある操作を実行できる。
WebSocket
HTTPとは異なる通信プロトコルで、サーバーとクライアント間で持続的な双方向通信チャネルを確立する技術である。リアルタイムアプリケーションで広く使用されるが、マルウェアのC2通信にも悪用されている。正規のWebトラフィックに紛れ込みやすく、検知が困難だ。
C2(コマンド&コントロール)サーバー
攻撃者がマルウェアに感染したデバイスへ命令を送信し、盗んだデータを受信するために使用するサーバーである。攻撃者はこのインフラを通じて、遠隔地から侵害されたシステムを操作する。
PowerShell
Microsoftが開発したWindowsの強力なコマンドラインツールおよびスクリプト言語である。システム管理に広く使用されるが、その機能性の高さゆえに攻撃者にも悪用されやすい。難読化が容易で、正規のシステムツールのため検知を回避しやすい。
COLDRIVER
ロシアに関連すると考えられているAPT(Advanced Persistent Threat)グループである。別名Star Blizzard、Callisto Groupとしても知られる。政府機関、シンクタンク、NGOなどを標的としたスピアフィッシング攻撃を展開している。
【参考リンク】
SentinelOne(外部)
AI駆動型のエンドポイント、クラウド、アイデンティティ、データ保護を統合したセキュリティプラットフォームを提供するサイバーセキュリティ企業。
国際赤十字委員会(ICRC)(外部)
武力紛争や暴力の犠牲者の保護と支援を専門とする人道支援組織。ジュネーブ条約の守護者として3度のノーベル平和賞を受賞。
UNICEF(国連児童基金)(外部)
世界中の子どもたちの権利と福祉を保護する国連機関。保健、栄養、教育、児童保護プログラムを通じて支援活動を展開している。
ノルウェー難民評議会(NRC)(外部)
紛争や災害により避難を余儀なくされた人々に緊急支援と長期的支援を提供する独立系人道支援組織。世界40か国以上で活動。
欧州評議会(外部)
人権、民主主義、法の支配の促進を目的とする国際機関。ウクライナ損害登録機関を通じてロシア侵攻による損害を文書化している。
【参考動画】
【参考記事】
ClickFix Attacks Surge 517% in 2025(外部)
2025年第1四半期から第2四半期にかけてClickFix攻撃が517%増加し、初期アクセス手法としてフィッシングに次ぐ第2位となったことを報告。
Think before you Click(Fix): Analyzing the ClickFix social engineering technique(外部)
Microsoftによる攻撃手法の詳細な技術分析。偽のブラウザエラーやCAPTCHA画面を通じた攻撃メカニズムと防御方法を解説。
PhantomCaptcha | Multi-Stage WebSocket RAT Targets Ukraine(外部)
SentinelOneによる公式レポート。攻撃の技術的詳細、インフラストラクチャ、WebSocket RATの動作メカニズムについて包括的に解説。
Russia-linked COLDRIVER speeds up malware evolution(外部)
ロシアに関連するCOLDRIVERグループが急速に新しいマルウェアを開発している状況を報告。PhantomCaptchaとの手法の類似性にも言及。
Leveraging WebSockets for Command and Control Communications(外部)
WebSocketをC2通信に使用する利点と実装方法について解説。従来のHTTP通信と比較した検知回避の優位性を詳述している。
【編集部後記】
人道支援組織を標的とした今回の攻撃は、サイバーセキュリティが単なる技術的課題ではなく、人命に直結する問題であることを改めて示しています。ClickFixのような新しい攻撃手法は、私たちが日常的に使っているCAPTCHA認証画面を悪用するため、誰もが被害者になり得る時代です。
皆さんの組織では、こうした巧妙化する脅威にどのように備えていますか。特に、不審なメールやリンクに遭遇したとき、立ち止まって確認する習慣を持つことが、最も基本的でありながら最も重要な防御策となります。
