TokyoBlackHatNews

malwarebytes.com 5分で読了

スクリプトキディレベルのフィッシングでも、数秒で認証情報が盗まれる仕組み

この認証情報を狙ったフィッシングの試みは、主にそのフロントエンドのシンプルさから私たちの注意を引きました。これはスクリプトキディレベルの攻撃ですが、何をしているのかが非常に分かりやすいため、記事にする価値があると判断しました。

メールは直接的で簡潔です。ここではあまりソーシャルエンジニアリングは行われていません。

非常に短く、工夫のないフィッシングメール

「親愛なる 、

添付のPOをご確認いただき、PIがご用意でき次第ご送付ください。」

送信者のアドレスはチェコスロバキアの印刷サービス(おそらく乗っ取られている)に属しており、名前と電話番号は偽物です。ターゲットは台湾にいます。

添付された.shtmlファイルは、どの認証情報を求めているのか明記されていない、きれいに作られた偽のログイン画面です。

ドキュメントを見るためにサインイン

スクリーンショットに表示されている事前入力されたメールアドレスは私が追加した偽物です。通常はターゲットのメールアドレスが入ります。

フィッシャーはここに入力されたどんな認証情報でも歓迎すると思われ、ほとんどの人が他のサイトでもパスワードを使い回していることを当てにしています。

この添付ファイルの機能の本質は、このJavaScriptの一部にあります。

主な機能

これは、すべてのフィールドが入力されていて十分な長さであることを確認する簡単なチェックから始まり、ログイン情報を受け取るTelegramボットを宣言します。

Telegramボットを使うことで、フィッシャーにはいくつかの利点があります:

  • 盗まれた認証情報が、Telegramの通知で攻撃者に即座に届けられます。フィッシャーがデータベースや受信箱を何度も確認する必要がありません。
  • Telegramは正当なグローバルメッセージングサービスであり、ブロックが困難です。
  • 公開されたウェブサーバーや明らかなフィッシング用「ドロップサイト」が存在しないため、ブロックリストに登録されたり閉鎖されたりしにくいです。

最後の行には信頼性を装うトリックが含まれています:

setTimeout(() => {window.location.assign("file:///C:/Users/USER/Downloads/Invoice_FAC_0031.pdf")}, 2000);

これは2秒(2,000ミリ秒)待った後、ユーザーのコンピューター上のファイルを開こうとします。このファイルはほぼ確実に存在しないため、ブラウザは(特にメールやローカルファイル以外からの場合)アクションをブロックするか、エラーを表示します。どちらにしても、ログイン試行がより本物らしく見え、ユーザーが自分の認証情報をどこかに送信したことを忘れさせる効果があります。

実際、これでほぼ全てですが、ダンジョンの住人(攻撃者)がコピペの際に削除し忘れたコードが少し残っています。あるいは、その用途が分からず、削除すると壊れるのを恐れてそのままにしたのでしょう。

Frankenphishからの無効なコード

攻撃者は元々このコードを使って、認証情報をハードコーディングされたAES(高度暗号化標準)キーとインジェクションベクターで暗号化し、自分のサーバーに送信していたのだと思われます。

この攻撃者は、その方法をより簡単なTelegramボット方式(はるかに使いやすい)に置き換えましたが、削除すると何か壊れるのを恐れて復号用のスタブを残したままにしています。

フィッシング詐欺に引っかからないために

このメールの巧妙さは低かったものの、攻撃者に認証情報を送ってしまうことによる影響が小さくなるわけではありません。

このようなフィッシング詐欺では、2つのシンプルなルールが多くのトラブルからあなたを守ります。

  • 頼まれていない添付ファイルは開かない
  • ブラウザのウェブサイトアドレスが、あなたがアクセスするはずのドメイン(例:adobe.com)と一致しているか確認する

フィッシング全般から身を守るための他の重要なヒント:

  • 送信者を確認する:送信者のメールアドレスが期待するものと一致しているか必ず確認しましょう。必ずしも決定的ではありませんが、いくつかの詐欺を見抜くのに役立ちます。
  • 送信者が本当に添付ファイルやリンクを送ったのか、独立したチャネルで確認しましょう。
  • 最新のセキュリティソフト(できればウェブ保護機能付き)を使用しましょう。
  • デバイスとすべてのソフトウェアを常に最新の状態に保ちましょう。
  • 可能な限りすべてのアカウントで多要素認証を利用しましょう。
  • パスワードマネージャーを使いましょう。パスワードマネージャーは、たとえ本物そっくりに見えても偽サイトには自動入力しません。

もし信頼できないページで認証情報を入力してしまった場合は、すぐにパスワードを変更してください。

プロのヒント:怪しいメールのスクリーンショットをMalwarebytes Scam Guardにアップロードすることもできます。これもフィッシング詐欺として認識されるはずです。

私たちは詐欺を報告するだけでなく、検出も支援します

サイバーセキュリティリスクは、決してニュースの見出しだけで終わらせてはいけません。もし何か怪しいと感じたら、Malwarebytes Scam Guard(当社のモバイル保護製品の機能)で詐欺かどうか確認しましょう。スクリーンショットを送信したり、怪しい内容を貼り付けたり、テキストや電話番号を共有することで、それが詐欺か正規かをお知らせします。iOSまたはAndroid用Malwarebytes Mobile Securityをダウンロードして、ぜひお試しください!

翻訳元: https://www.malwarebytes.com/blog/threat-intel/2025/11/how-credentials-get-stolen-in-seconds-even-with-a-script-kiddie-level-phish

ソース: malwarebytes.com
#AIサイバーセキュリティ #AIフィッシング #AWS認証情報漏洩 #BEC(ビジネスメール詐欺) #Telegramボット #サイバーセキュリティ対策 #スクリプトキディ #パスワード再利用 #マルウェア対策 #多要素認証(2FA)

関連記事

巧妙な著作権侵害通知でGoogleログイン情報を狙うフィッシング詐欺

23andMe、数百万人の遺伝情報を流出か——訴訟で明らかに

偽のウイルス警告がモバイルゲームに蔓延