eSecurity Planet のコンテンツおよび製品に関する推奨事項は、編集上の独立性を保っています。パートナーへのリンクをクリックすることで、当社が収益を得る場合があります。 詳細はこちら
Barracudaが2026年6月に公表した調査によると、フィッシングキャンペーンは認証情報の窃取にとどまらず、セッションハイジャックや認証攻撃、マルウェア配布へと進化を遂げているといいます。
攻撃者は現在、Microsoftの正規サービスや短命なフィッシングインフラ、高度な回避技術を悪用し、セキュリティ対策とユーザーの双方をすり抜けています。
Barracudaでディレクター(AI・オートメーション担当)を務めるMerium Khalid氏は、eSecurityPlanetへのメールで次のように述べています。「サイバー犯罪者は創造性に富んでおり、正規のアプリケーションや人々がすでに信頼しているシステム、短命なインフラを活用することができます」
さらにMerium氏は、「企業には、認証情報やトークン、アカウントアクセスが漏洩した後の不審な挙動の兆候を特定し調査するための対策が必要です」と付け加えています。
重要なポイント
- Barracudaの調査により、フィッシングキャンペーンが認証情報の窃取のみに頼るのではなく、セッショントークンやMicrosoft認証、マルウェア配布をますます標的にしていることが判明
- Tycoon 2FAというフィッシング・アズ・ア・サービス(PhaaS)プラットフォームが、正規のMicrosoftログインページとOAuth権限を悪用し、Microsoft 365アカウントを侵害
- 攻撃者はデバイスコードフィッシングやCAPTCHA認証、自動失効型フィッシングページ、スプリットクリック手法を用いて従来のセキュリティ対策を回避
- フィッシングキャンペーンは、永続化の確立とエンドポイント検知の回避を狙い、ファイルレスマルウェアや難読化されたJavaScriptペイロードの配布をますます増加させている
攻撃者がMicrosoft認証をフィッシングに悪用する手口
Barracudaが分析した中でも特に注目すべきキャンペーンの一つは、Tycoon 2FAというフィッシング・アズ・ア・サービス(PhaaS)プラットフォームを利用し、正規のMicrosoftログインページを悪用するものです。
被害者には、メールボックスの容量がほぼ上限に達しているという警告メールが届き、Microsoftのセキュリティ部門から送られたかのように見えるカレンダー招待が添付されています。
このフィッシングキャンペーンは、偽のウェブサイトへ誘導する代わりに、攻撃者が管理するMicrosoft Entraアプリケーションに紐づいた、正規のMicrosoft認証ページを経由して被害者を誘導します。
ユーザーが認証を行うと、攻撃者はそのセッショントークンとOAuth権限を取得し、Microsoft 365サービスへ即座にアクセスできるようになります。
場合によっては、その後被害者は偽のログインページへリダイレクトされ、パスワードまで窃取されることもあります。
この攻撃は正規のMicrosoftインフラを利用しているため、URLレピュテーションチェックを回避でき、フィッシングの検知をさらに困難にしています。
デバイスコードフィッシングが従来の防御をすり抜ける仕組み
Barracudaの研究者は、自動化されたセキュリティツールを回避するよう設計された、デバイスコードフィッシングの新たな変種も確認しています。
攻撃者は、不審なリンクをフィッシングメールに直接埋め込むのではなく、PDF添付ファイルの中に配置することで、URLスキャン技術による検知の可能性を低減させています。
添付されたPDFは、正規のデバイス登録を模倣した偽のMicrosoftデバイス認証フローへと被害者を誘導します。
このキャンペーンにはCAPTCHA認証が組み込まれており、自動解析をブロックするほか、あらかじめ定められた期間が過ぎると自動的に消滅する自動失効型フィッシングページも使用されています。
この組み込み型のキルスイッチにより、フォレンジック調査が制限されるとともに、防御側が攻撃後に悪意あるインフラを特定する機会も減少します。
検知を回避する高度なフィッシング手法
研究者はまた、珍しい「スプリットクリック」フィッシング手法についても記録しています。
メールには「問題を解決」という単一のボタンが含まれていますが、ユーザーがクリックする箇所によって挙動が異なります。
上部を選択すると正規のMicrosoftのウェブページが開く一方、下部をクリックすると、Sneaky 2FAプラットフォームに関連する悪意あるフィッシングチェーンへ密かにリダイレクトされます。
この攻撃は、実行時に動的に生成されるブラウザ生成のblob URLを利用しており、従来のセキュリティツールによる検査やブロックをより困難にしています。
こうした手法は、攻撃者が自動解析やセキュリティテストを回避することを特に狙った手口を開発し続けていることを示しています。
フィッシングは認証情報窃取からマルウェア配布へシフト
Barracudaはまた、フィッシングキャンペーンを通じたマルウェア配布の傾向が強まっていることも確認しています。
あるキャンペーンでは、PDF請求書のように見えるファイルをダウンロードしようとした被害者に対し、代わりに悪意あるコードを隠し持つ難読化されたJavaScriptファイルが配布されました。
このスクリプトはステガノグラフィと難読化技術を用いてペイロードを隠蔽し、その後システム情報を収集し、永続化を確立した上で追加のマルウェアをダウンロードします。
別のキャンペーンでは、米国社会保障庁(Social Security Administration)を装い、ファイルレスマルウェアを配布していました。
この悪意あるJavaScriptは、隠されたURLを再構築して二次ペイロードをダウンロードし、WindowsのActiveXコンポーネントを使ってメモリ上で直接実行することで、従来のエンドポイント防御からの可視性を低下させていました。
研究者はさらに、偽のOneDriveおよびExcelのログインページへ被害者を誘導し、認証情報窃取の成功率をさらに高める、多段階のMicrosoftなりすまし攻撃も確認しています。
現代のメールフィッシング攻撃への対策
Barracudaは、組織がパスワード保護にとどまらず、アイデンティティセキュリティと行動検知に重点を置いてフィッシング対策を拡張することを推奨しています。
主な防御策は以下の通りです。
- パスワードに加えて認証トークンとアイデンティティも保護する
- カレンダー招待、添付ファイル、OAuthアクティビティ、認証フローを監視する
- 回避的なフィッシング手法を検知できる行動検知を導入する
- 埋め込み型やファイルレスのマルウェアに対する添付ファイルおよびエンドポイント保護を強化する
- 短命なフィッシングインフラに対応するため、インシデント対応の速度を向上させる
- 正規のクラウドサービスを悪用する現代のフィッシング手法を反映するよう、セキュリティ意識向上トレーニングを更新する
結論
Barracudaの最新の調査は、フィッシング攻撃が単なる偽のログインページにとどまらず、信頼されたMicrosoftインフラや認証トークンの悪用、高度な回避技術、マルウェア配布へと進化していることを示しています。
フィッシング攻撃がアイデンティティ、認証トークン、信頼されたクラウドサービスをますます標的にする中、ゼロトラストソリューションの導入は、組織が全体的なリスクを低減する助けとなるでしょう。
翻訳元: https://www.esecurityplanet.com/threats/phishing-tactics-target-session-tokens-and-deliver-malware/