著作権違反を装い情報窃取型マルウェアを配布 高度なフィッシング攻撃に注意：セキュリティニュースアラート

チェック・ポイントは著作権侵害を装った「CopyRh（ight）adamantys」と呼ばれるフィッシング攻撃を観測した。同攻撃では、フィッシングの標的に対してAIを駆使した高度なインフォスティーラーマルウェアを配布する。攻撃手法の詳細とは。

[後藤大地，有限会社オングス]

　チェック・ポイント・ソフトウェア・テクノロジーズ（チェック・ポイント）は2024年11月25日、インフォスティーラー「Rhadamanthys」の最新バージョン「Rhadamanthys 0.7」を利用した大規模なフィッシング攻撃を観測したと発表した。

　この攻撃は「CopyRh（ight）adamantys」と呼ばれ、著作権違反と偽って個人や組織を標的にしていることが確認されている。その詳細な手法とは。

AIを悪用した新型マルウェア「Rhadamanthys 0.7」を配布　攻撃手法の詳細

　この攻撃では専用の「Gmail」アカウントが作成されており、実在する企業の法務担当者になりすまして虚偽の通知メールが送信されていた。電子メールの内容は標的のSNSアカウントに著作権侵害があったとする虚偽の通知となっており、ソーシャルメディアページでの商標やブランドの不正使用を理由に特定の画像や動画の削除を要求する。この削除手順の中にマルウェア「Rhadamanthys」を仕込んだファイルのダウンロードを指示する手口となっている。

　同攻撃は世界各地のさまざまな業界で確認されており、なりすましの対象となった企業の約70％はエンターテインメントやメディア、テクノロジー、ソフトウェア分野に集中している。

　Rhadamanthysは感染先の情報を窃取する高度なインフォスティーラーとされている。同マルウェアの作成者は新バージョンにAIエンジンを含む高度な機能を搭載していると主張しているが、チェック・ポイントの調査でOCR（光学的文字認識）ソフトウェアでよく使われる、古典的なML（機械学習）が使用されていることが判明している。

　さらに標的をだますための電子メールの文面や多数のGmailアカウントの作成にAIを活用した自動化ツールが使われている。攻撃メールの文面は通常、受信者の母国語または英語で書かれているが、時折言語ミスが見られる。例えばイスラエルの標的に対し韓国語で書かれた電子メールが送信されるなどの間違いが確認されている。

　このフィッシング攻撃は米国や欧州、中東、東アジア、南アメリカなど世界各地で確認されている。調査中にチェック・ポイントを装った偽の電子メールも発見されており、Rhadamanthysを使用した攻撃が広がりを見せていることが懸念されている。特に今回の攻撃は金銭的利益を目的としたサイバー犯罪グループによるものである可能性が高く、国家支援型攻撃とは異なり攻撃の手口や標的範囲の広さから商業目的のサイバー犯罪と考えられている。

　「CopyRh（ight）adamantys」攻撃では著作権侵害という信ぴょう性の高いテーマが悪用されており、情報窃取マルウェアを拡散する効果的な誘い文句として使われている。チェック・ポイントは今回の攻撃が示す新たな脅威を警告するとともに最新のセキュリティ技術を活用することを強く推奨している。