Spiderman(スパイダーマン)として知られる新たに発見されたフィッシングキットにより、サイバー犯罪者はわずか数クリックで欧州の大手銀行数十行をなりすましできるようになり、大規模な金融詐欺キャンペーンを行うために必要なスキル水準が劇的に下がっています。
このキットの開発者は、認証情報、ワンタイムパスワード(OTP)、さらには暗号資産ウォレットのシードフレーズまでもリアルタイムで盗み出すための「ターンキーソリューション」として売り込んでいます。
このフィッシングキットは攻撃者に「…アカウント乗っ取り、SIMスワップ攻撃、クレジットカード詐欺、そして個人情報盗難を行うのに十分すぎるほどの情報」を提供すると、Varonisの研究者は述べています。
スパイダーマン・フィッシングキット、欧州各国の銀行を標的に
Spidermanはドイツ、スペイン、ベルギー、オーストリア、スイスの顧客を標的としており、ドイツ銀行(Deutsche Bank)やカイシャ銀行(CaixaBank)からING、コメルツ銀行(Commerzbank)に至るまで、幅広い金融機関に影響を与えています。
約750人が参加するSignalグループの存在などから、その採用は拡大しているとみられ、下位レベルの攻撃者にも広く出回っていることが示唆されています。その結果、金融フィッシングキャンペーンの頻度と地理的な広がりがともに増大しています。
スパイダーマンのフルスタック・フィッシングワークフローの内側
Spidermanは本質的に、認証情報窃取のあらゆる段階を自動化するマルチブランド対応のフィッシングフレームワークとして機能します。
オペレーターがなりすまし対象の銀行を選択すると、キットは即座に、その金融機関のログインページをピクセル単位で再現したクローンを生成します。そこにはユーザー名、パスワード、クレジットカード情報、PhotoTAN/OTP入力欄まで含まれています。
オペレーター用ダッシュボードには、各被害者セッションがリアルタイムで表示され、ユーザー入力、IPメタデータ、デバイス情報が追跡されます。
被害者が最初の認証情報を入力すると、攻撃者は追加プロンプトを表示させ、クレジットカード番号、電話情報、取引承認に必要なOTPなど、より機微な情報を収集できます。
こうしたリアルタイムのワークフローにより、特に多段階認証が標準となっている欧州の銀行システムにおいて、アカウント乗っ取りの成功率が大幅に高まります。
Spidermanには、セキュリティツールを回避し露見を抑えるための高度なアンチ解析機能も含まれています。
このキットは国別の許可リストを用いて、標的とする地域からのみフィッシングページへアクセスできるようにし、さらにISPやASNによるフィルタリングを適用して、VPN、データセンター、既知のセキュリティ研究ネットワークからのアクセスを遮断します。
また、デバイスの種類に基づいてアクセスを制限し、モバイルまたはデスクトップの実ユーザーにのみ悪性コンテンツが表示されるようにしています。
訪問者が不審と判断されたり、許可条件から外れている場合、Spidermanは自動的に無害なサイトへリダイレクトし、検知される可能性を低減します。
これらの制御により、キットは自動スキャナーや脅威インテリジェンス用クローラーを回避しやすくなり、検出ははるかに困難になります。
スパイダーマン・フィッシングキットが被害者から収集する情報
単純なフィッシングテンプレートとは異なり、Spidermanはフルスタックかつリアルタイムの認証情報ハイジャックシステムとして機能し、攻撃者が単なるログインIDとパスワード以上の情報を収集できるようにします。
- 氏名、電話番号、生年月日
- クレジットカードおよび銀行口座の詳細
- 取引承認用のPhotoTANコード
- ユーザーエージェントおよびデバイスのフィンガープリント
Metamask、Ledger、Exodus向けの暗号資産モジュールが含まれていることは、銀行詐欺と暗号資産窃盗の融合が進んでいることを示しています。これらのモジュールは、被害者のウォレットへ不可逆的なアクセスを可能にするシードフレーズを盗み出します。
Spidermanの多段階アプローチにより、攻撃者は各被害者とのセッションを固有の識別子で継続的に維持できます。これにより、盗んだデータを後で利用・転売しやすくなり、サイバー犯罪グループの運用効率が高まります。
進化するフィッシング脅威に対抗するための重要な対策
Spidermanのようなキットの影響を抑えるには、より強力な認証、より賢い検知、そして連携した対応を組み合わせる必要があります。
以下のステップは、組織や金融機関が進化するフィッシングワークフローに対して、より強靭な防御を構築するのに役立ちます。
- フィッシング耐性の高いMFAとステップアップ認証を導入し、OTP窃取型キットの有効性を低減する。
- 高度なフィッシングフィルタ、サンドボックス、DMARCの適用、およびなりすまし対策により、メールおよびドメイン保護を強化する。
- ブランドなりすましを監視し、悪意あるドメインやクローン銀行ページに対する迅速なテイクダウンワークフローを構築する。
- 行動分析と取引の異常検知を活用して、異常なデバイス、場所、認証パターンを検知する。
- 地域特有のフィッシング手口についてユーザーを教育し、キットでは容易に再現できない明確なセキュリティ指標を提供する。
- 脅威インテリジェンスフィードを活用して、新たなフィッシングインフラを特定し、新種のキットを追跡し、内部防御向けのインジケーターを迅速に共有する。
これらの対策により、組織はフィッシング攻撃に対するレジリエンスを高めることができます。
Spidermanは、より広範なトレンドの一部です。すなわち、ターンキー型サイバー犯罪キットが、高度な脅威アクターと経験の浅い犯罪オペレーターとの間のギャップを埋めつつあります。
高度に自動化されたインターフェース、リアルタイムのセッション制御、アンチ解析フィルタを備えたこの種のキットは、欧州全域で金融フィッシングキャンペーンの量と複雑さを加速させています。
こうしたキットが攻撃者にとっての参入障壁を下げ続けるなか、多くの金融機関は、ゼロトラストのような基盤的なセキュリティモデルを見直し、侵害されたユーザー操作の影響をいかに抑え込むかを再評価しています。
