日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口：セキュリティニュースアラート

Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。

[後藤大地，有限会社オングス]

　Proofpointは2025年5月6日、「CoGUI」フィッシングキットによる日本を標的とした大規模な攻撃キャンペーンについて発表した。

　このキャンペーンでは、主にコンシューマー向けブランドや金融ブランドなどの有名企業になりすました数百万のフィッシングメールが確認されている。

日本を狙う高度なフィッシング攻撃が登場　有名ブランドを装う

　CoGUIは、ジオフェンシングやヘッダフェンシング、フィンガープリンティングといった高度な検知回避技術を備えており、特定地域を精密に狙うことが可能だ。これらの技術により、セキュリティシステムによる検出を回避し、標的のWebブラウザ環境に応じて正規のWebサイトへのリダイレクトも実行する。

　調査では2024年10月からこのフィッシングキットの活動を確認しており、特に2025年1月には1億7200万件以上のメッセージが観測されている。平均で月に約50件のキャンペーンが報告されており、その多くが日本のユーザーに向けて展開されている。

　同キットは、「Darcula」と呼ばれる別のフィッシングキットと幾つかの技術的類似点を持つが、最終的には別個のものであると評価されている。両者ともに中国語を含むコードやレスポンスを使用しており、中国語を話す複数の脅威アクターによって運用されている可能性がある。

　CoGUIを利用した攻撃ではAmazonやPayPay、楽天などの消費者向けブランドや金融ブランドを装い、ユーザー名やパスワード、クレジットカード情報などの窃取を狙っていることが判明している。

　楽天証券を装った攻撃では、「関税」に関連する文言を使った誘導が含まれており、Amazonの事例ではアカウント保護を名目とした情報入力が求められていた。PayPayを装った電子メールでは、ポイントやギフト券の提供を偽って情報を詐取しようとする手口が見られた。

　なお、現時点でCoGUIには多要素認証（MFA）情報を収集する機能が確認されていない。これは他の広く利用されているフィッシングサービスと比較して異例と考えられているが、この機能が確認されていないだけの可能性もある。

　日本の金融庁も最近、証券会社を含む金融機関を標的としたフィッシング活動の増加について注意を喚起しており、プルーフポイントの観測結果と一致する傾向が見られる。こうしたフィッシング活動は、被害者の金融アカウントを悪用して中国の低位株などを購入する金銭目的の犯罪につながるケースがある。

　Proofpointは、CoGUIの利用が中国語話者によるサイバー犯罪の増加傾向と一致している点を指摘しており、今後も同様の攻撃が継続される可能性があると見ている。

　企業や個人は電子メール内のリンクを安易にクリックせず、公式サイトを通じて情報の真偽を確認することが重要となる。またMFAの導入やユーザー教育を通じた対策の強化が推奨される。フィッシング被害の拡大を防ぐため、組織は迅速な通報体制と技術的防御の強化を進めることが求められている。