誰でも手軽にフィッシング詐欺が可能？ PhaaS「Caffeine」に注意

Mandiantは新たなフィッシング・アズ・ア・サービスのプラットフォーム「Caffeine」を発見した。サイバー犯罪者が簡単かつ効果的にフィッシング詐欺を実行できるツールとして注目が集まっている。

[後藤大地，有限会社オングス]

　サイバー犯罪者がサイバー攻撃によって売り上げを得るにはそれ相応の技術や準備、そして運用が必要だが、全ての犯罪者がこうした能力を備えているわけではない。そのためダークWebなどでは、これらの機能をアズ・ア・サービス型で提供するケースが増えてきている。

　セキュリティ企業のMandiantは2022年10月11日（現地時間）、同社のブログで「Caffeine」と呼ばれるフィッシング・アズ・ア・サービス（PhaaS：Phishing-as-a-Service）プラットフォームについて言及した。

　Mandiantは2022年3月に同社の顧客を標的としたフィッシング詐欺について調査する中で、Caffeineを発見したとしている。

Mandiantは、新たなフィッシング・アズ・ア・サービスであるCaffeineの詳細について報告した（出典：MandiantのWebサイト）

フィッシング詐欺参入への間口を広げるCaffeineの特徴とは

　Caffeineはこれまでのフィッシング・アズ・ア・サービスと同様に、カスタマイズしたフィッシング詐欺キットの用意や中間リダイレクトページの管理、最終段階となるルアーページの管理、ホストされたペイロード用URLの動的生成、キャンペーン電子メール活動の追跡など、フィッシング詐欺に必要な機能をサブスクリプションベースで包括的に提供する。Mandiantは、CaffeineのUIについて直感的で扱いやすく、フィッシング詐欺キャンペーンを展開する際には中核となるソフトウェアだと指摘している。

　ただし、こうしたサイバー攻撃に利用するソフトウェアや機能をサービスとして提供する販売方式は珍しいものではない。Mandiantによれば、Caffeineの特徴としてはその「登録プロセス」にあるという。

　こうしたサービスは、地下フォーラムや暗号化されたメッセージングサービスなどを使って既存のユーザーからの推薦や紹介状を経てから利用が可能になるケースが一般的だ。しかしCaffeineは、電子メールアドレスがあれば登録できるため参入障壁が比較的低く設定されている。登録の間口が広がっていることで、これまでよりも多くのサイバー犯罪者がこのサービスを利用したフィッシング詐欺キャンペーンを展開する可能性があり注意が必要だ。

　なお、Mandiantはフィッシング・アズ・ア・サービスへの対処についてサイバー犯罪者とのいたちごっこになる可能性があると指摘しつつ、侵害を軽減する対策として以下を推奨している。

• 公開済みのWebインフラストラクチャとファイルを、既知の適切なバージョンのコンテンツに対して定期的に評価する
• 初期URL構造やフォーム送信、及びリダイレクトを含めるためにWebログ分析に行動分析を利用する
• パスワードと資格情報のリセットに関するセキュリティポリシーを時折再評価する
• 少なくとも、外部ソースからエンタープライズ環境にアクセスするために使用される全てのユーザーアカウントに二要素認証を実装する