72カ国・260以上のブランドになりすまし、Cloudflareの偽「Error 524」ページを巧みに活用した回避技術を駆使することで、世界中のモバイルユーザーを狙う大規模なスミッシング・フィッシングキャンペーンが展開されています。
2025年後半から活動を開始したこのキャンペーンは、主にラテンアメリカを標的としながらも、欧州・アジア太平洋・北米へと拡大しており、フィッシング・アズ・ア・サービス(PhaaS)エコシステムの産業化が急速に進んでいる実態を浮き彫りにしています。
なりすまし対象として最も多いのは通信事業者で、次いで金融機関、消費者向けポイントプログラムが続きます。
研究者たちは、この地域への集中について、SMS送信者なりすまし対策の規制が弱いこと、モバイルファーストの利用率が高いこと、そしてロイヤルティサービスが広く普及しており説得力のあるソーシャルエンジニアリングの口実として使いやすいことを要因として挙げています。
このキャンペーンの際立った特徴は、多層的な解析回避アーキテクチャです。デスクトップ環境や対象外の地域からアクセスされた場合、フィッシングドメインは広く知られた「Error 524」タイムアウトメッセージを含む、本物そっくりのCloudflareエラーページを表示します。
このデコイにより、自動スキャナー・セキュリティ研究者・ホスティングプロバイダーからの悪意あるコンテンツの検出が効果的に阻まれ、インフラが検知やテイクダウンを免れ続けています。
フィルタリングの仕組みは、クライアントサイドでのジオロケーション確認とデバイスフィンガープリンティングに依存しています。対象国かつモバイルデバイスからアクセスしたユーザーにのみ、実際のフィッシングインターフェースが表示される仕様です。
Group-IBのデジタルリスクプロテクションチームの報告によると、このキャンペーンでは少なくとも4,389件のフィッシングドメインが確認されており、メキシコ・チリ・コロンビアが最も集中的な標的となっています。
この条件付きレンダリングは、Base64エンコードされたシングルページアプリケーション(SPA)内に実装されており、実行時に悪意のあるロジックを動的にデコード・実行することで、静的解析をさらに困難にしています。
Error 524デコイキャンペーンの手口
攻撃チェーンは、期限切れ間近のポイントや未配達の荷物といった緊急性を煽るSMSメッセージから始まります。多くの場合、なりすました現地番号から送信されます。
ラテンアメリカ以外では、欧州での活動(確認済みドメイン673件、主にオランダとドイツ)が金融サービスや物流事業者を標的としており、アジア太平洋での活動(ドメイン238件、オーストラリアが最多)は通信事業者や政府機関へのなりすましに重点を置いています。
埋め込まれた短縮URLは被害者をフィッシングドメインへ誘導し、最初は最小限のHTML構造を読み込ませます。検証が完了すると、信頼性を高めるために地域に合わせたブランド固有のインターフェースが表示されます。
被害者は段階的な情報収集プロセスへと誘導されます。最初は基本的な本人確認入力から始まり、氏名・住所・メールアドレス・電話番号を含む完全な個人情報の入力へとエスカレートしていきます。
最終段階では、クレジットカードの完全な情報が要求されます。バリデーション機能は意図的に最小限に抑えられており、チェックサム検証のみに依存することで、リアルタイムの銀行照会による遅延を発生させることなく、データ収集効率を最大化しています。
技術的な特徴として注目されるのが、リアルタイムのデータ窃取に暗号化WebSocket(WSS)チャネルを使用している点です。フィッシングページが読み込まれると同時に持続的なWebSocket接続が確立され、被害者のブラウザと攻撃者が制御するサーバーとの間で双方向通信が可能になります。
収集されたデータはバイナリエンコードされたペイロードとして送信される一方、定期的なハートビート信号によってセッションの継続性が維持され、滞在時間などの行動テレメトリが収集されます。
チェックサムを通過したテストカードは承認され、即座に送信後のリダイレクトが実行されます。この手法は、銀行との接続を必要としリアルタイムの認証確認を回避することで、スループットを最大化するものです。
インフラ分析によると、Cloudflareがリバースプロキシとして広く利用されており、実際のオリジンサーバーが隠蔽されています。オリジンサーバーは主にTencent CloudおよびAlibabaのインフラ上にホストされていることが多く確認されています。
CDN層での対策措置がバックエンドの運用を必ずしも妨害しないため、この構成は帰属特定とテイクダウンの取り組みを複雑にしています。さらに、このキャンペーンでは「.top」「.ink」「.click」といった低コストのトップレベルドメインを使った急速なドメインサイクリングを採用しており、命名規則は正規ブランドのポイントポータルを模倣するよう設計されています。
モバイル特化した配信手法、高度な回避技術、リアルタイムのデータ窃取の組み合わせは、このキャンペーンの高い運用成熟度を示しています。
Group-IBは、このキャンペーンがフィッシング技術の進化を体現するものだと指摘しています。攻撃者はパフォーマンス監視ツール、暗号化通信、クラウドネイティブなインフラを統合することで、低い検出率を維持しながらグローバルに規模を拡大しています。
翻訳元: https://gbhackers.com/error-524-decoy-campaign/
