日本を標的にした大規模フィッシングキャンペーンが激増 その高度な手口:セキュリティニュースアラート
Proofpointは、日本を標的とした大規模な「CoGUI」フィッシング攻撃を観測した。攻撃者は楽天やPayPayなどの有名ブランドを装い、ユーザーから個人情報を盗み取ろうとしている。
Proofpointは2025年5月6日、「CoGUI」フィッシングキットによる日本を標的とした大規模な攻撃キャンペーンについて発表した。
このキャンペーンでは、主にコンシューマー向けブランドや金融ブランドなどの有名企業になりすました数百万のフィッシングメールが確認されている。
日本を狙う高度なフィッシング攻撃が登場 有名ブランドを装う
CoGUIは、ジオフェンシングやヘッダフェンシング、フィンガープリンティングといった高度な検知回避技術を備えており、特定地域を精密に狙うことが可能だ。これらの技術により、セキュリティシステムによる検出を回避し、標的のWebブラウザ環境に応じて正規のWebサイトへのリダイレクトも実行する。
調査では2024年10月からこのフィッシングキットの活動を確認しており、特に2025年1月には1億7200万件以上のメッセージが観測されている。平均で月に約50件のキャンペーンが報告されており、その多くが日本のユーザーに向けて展開されている。
同キットは、「Darcula」と呼ばれる別のフィッシングキットと幾つかの技術的類似点を持つが、最終的には別個のものであると評価されている。両者ともに中国語を含むコードやレスポンスを使用しており、中国語を話す複数の脅威アクターによって運用されている可能性がある。
CoGUIを利用した攻撃ではAmazonやPayPay、楽天などの消費者向けブランドや金融ブランドを装い、ユーザー名やパスワード、クレジットカード情報などの窃取を狙っていることが判明している。
楽天証券を装った攻撃では、「関税」に関連する文言を使った誘導が含まれており、Amazonの事例ではアカウント保護を名目とした情報入力が求められていた。PayPayを装った電子メールでは、ポイントやギフト券の提供を偽って情報を詐取しようとする手口が見られた。
なお、現時点でCoGUIには多要素認証(MFA)情報を収集する機能が確認されていない。これは他の広く利用されているフィッシングサービスと比較して異例と考えられているが、この機能が確認されていないだけの可能性もある。
日本の金融庁も最近、証券会社を含む金融機関を標的としたフィッシング活動の増加について注意を喚起しており、プルーフポイントの観測結果と一致する傾向が見られる。こうしたフィッシング活動は、被害者の金融アカウントを悪用して中国の低位株などを購入する金銭目的の犯罪につながるケースがある。
Proofpointは、CoGUIの利用が中国語話者によるサイバー犯罪の増加傾向と一致している点を指摘しており、今後も同様の攻撃が継続される可能性があると見ている。
企業や個人は電子メール内のリンクを安易にクリックせず、公式サイトを通じて情報の真偽を確認することが重要となる。またMFAの導入やユーザー教育を通じた対策の強化が推奨される。フィッシング被害の拡大を防ぐため、組織は迅速な通報体制と技術的防御の強化を進めることが求められている。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
“偽基地局”による通信傍受や詐欺が深刻化 日本でも本格化の兆し
フィリピンでIMSIキャッチャーを使った通信傍受や詐欺が深刻化し、消費者団体が政府に対策を求めている。装置は小型化して都市部に持ち込まれ、個人情報盗取やマルウェア感染を引き起こしている。この問題は日本にも関係があるという。
AWSデフォルトサービスロールに過剰なS3権限 複数サービスで影響か
AWSのSageMakerやGlueなどが自動で生成するサービスロールに過剰なS3権限が含まれると分かった。攻撃者が権限を乱用した場合、他サービスへの横断アクセスや特権昇格を試みる恐れがある。
証券会社を狙うサイバー攻撃が激化 あらためて多要素認証の重要性を考える
フィッシングの激化に伴い、サービスを提供する側の責任として、事業者が多要素認証を必須とする流れが進んでいます。では、なぜここまで多要素認証の重要性が高まっているのでしょうか。攻撃者の動向を踏まえつつ、この技術をあらためて解説します。
「いたちごっこ」の先へ 攻撃者心理を読み解く“先回りの防御術”
サイバー攻撃者たちは一体何を考え、どのようなモチベーションで攻撃を仕掛けるのでしょうか。今回は彼らの心理を掘り下げて思考を先読みしながら、有効な防御策について解説していきます。