新たなPhaaSが登場、DNS情報を悪用してよりだましやすいログイン画面を生成：セキュリティニュースアラート

Infobloxは攻撃者がDNS over HTTPSとMXレコードを悪用し、標的に合わせた偽ログインページを動的に生成する高度なフィッシング攻撃を実行していると報告した。これによってより信ぴょう性の高い詐欺が可能になるという。

[後藤大地，有限会社オングス]

　Infobloxは2025年3月27日（現地時間）、フィッシング攻撃者がDNS over HTTPS（DoH）とDNSのMXレコードを悪用して動的にフィッシングページを配信していると発表した。今回のサイバー攻撃者はフィッシング・アズ・ア・サービス（PhaaS）プラットフォームを運営し、100以上のブランドを模倣する偽のログインページを提供しているとされる。

DoHとMXレコードを悪用した最新PhaaSの実態とは？

　このPhaaSプラットフォームはスパムメールの大量送信や「WordPress」で作られたWebサイトの侵害、広告技術インフラのオープンリダイレクトの悪用など、多様な手法によってフィッシングコンテンツを拡散している。さらに、盗まれた認証情報は「Telegram」などのチャットサービスを通じて送信される。

　特にDNSのMXレコードを利用して被害者のメールサービスプロバイダーを特定し、偽のログインページを動的に生成する点が注目される。これにより、攻撃者は被害者を巧妙に欺く、極めて信頼性の高い偽装ページを提示できる。

　このフィッシングキットは2020年1月から活動が確認されている。当初は5つのメールブランドのみを模倣していたが、現在では114のブランドデザインに拡大している。また、被害者のWebブラウザ設定に基づいて10数言語以上に動的に翻訳する機能も備えている。

　攻撃の流れとしては、まず大量のスパムメールが送信され、受信者が悪意のあるリンクをクリックするとフィッシングのランディングページにリダイレクトされる。その際、DNSのMXレコードを参照して被害者のメールサービスを特定し、対応する偽のログインページを表示する。

　このPhaaSプラットフォームは、Cloudflare DoHやGoogle Public DNSを利用して被害者のメールドメインのMXレコードを取得する。これにより、攻撃者は被害者のメールサービスプロバイダーを特定し、適切なフィッシングページを提供することが可能となる。

　このような高度なフィッシング手法に対抗するためにはDNSの監視と制御が重要になる。DNSを活用することで攻撃者が準備段階で使用する悪意のあるドメインを特定し、攻撃が開始される前にブロックすることが可能になる。

　DNSの適切な管理と継続的な監視体制は、巧妙化するフィッシング攻撃を含むあらゆるサイバー脅威から組織を守る上で不可欠だ。企業はDNSの異常な挙動を監視し、フィッシング攻撃の兆候を早期に検出する体制を整えることが望まれる。これにより被害を未然に防ぐことが期待される。最新の攻撃手法に対応するため継続的なセキュリティ対策の強化が求められている。