脅威アクターが検知システムを回避するためにソーシャルエンジニアリング手法を洗練させる中、フィッシング攻撃はサイバー犯罪の状況において引き続き支配的な存在となっています。
FBIのインターネット犯罪苦情センター(IC3)は2024年にフィッシングおよびスプーフィングに関する苦情を193,407件記録し、同年のサイバー犯罪カテゴリで最多となり、報告された損失は驚異的な166億ドルに達しました。
脅威アクターが検知システムを回避するためにソーシャルエンジニアリング手法を洗練させる中、フィッシング攻撃はサイバー犯罪の状況において引き続き支配的な存在となっています。
FBIのインターネット犯罪苦情センター(IC3)は2024年にフィッシングおよびスプーフィングに関する苦情を193,407件記録し、同年のサイバー犯罪カテゴリで最多となり、報告された損失は驚異的な166億ドルに達しました。
一方、Group-IBの「High-Tech Crime Trends Report 2025」によると、フィッシング活動は前年比22%増加しており、攻撃者が初期侵入を得るために欺瞞的な手口にどれほど依存しているかを浮き彫りにしています。
最新の脅威の一つとして、Group-IBのサイバーセキュリティ研究者は、2025年8月下旬以降、組織を積極的に標的としている高度なDocuSignなりすましキャンペーンを特定しました。
このキャンペーンはフィッシング手法の進化を示すもので、高度なインフラと動的な認証情報収集技術を組み合わせ、説得力のある偽ログインポータルを作り出しています。
キャンペーンの概要と手口
DocuSignなりすまし攻撃は、信頼されている業務コミュニケーションのパターンを悪用し、多忙な業務時間帯に受信者を欺きます。
攻撃者は、正規のDocuSign通知に極めて近い体裁のメールを巧妙に作成し、新しい文書の確認が必要だと主張します。
これらのメッセージは受信者をログイン名で呼びかけ、送信者アドレスを詐称して、しばしば標的の組織ドメインそのものを模倣します。これにより真正性があるかのような錯覚を生み出します。
巧妙さは技術的な実装にあります。被害者が「Review document(文書を確認)」ボタンをクリックすると、IPFS(InterPlanetary File System)ゲートウェイ、またはAmazon Web ServicesのS3バケット上でホストされたURLへリダイレクトされます。
これらのホスティング基盤は正当なサービスである一方、アクセスの容易さや悪性コンテンツを迅速にブロックしにくい点から、フィッシング実行者に悪用されることが少なくありません。
このキャンペーンの認証情報収集ページは、リアルタイムで説得力のあるログインポータルを動的に構築するよう設計された、LogoKitという専用のフィッシングフレームワークを用いて作られています。
悪性ページが読み込まれると、URLパラメータから被害者のメールドメインを抽出し、その情報を使って偽ログイン画面の外観をカスタマイズします。
LogoKitは視覚要素を自動取得します。具体的には、thum.ioサービスを介して標的組織のWebサイトの背景スクリーンショットを取得し、ClearbitまたはGoogleのfaviconサービスを通じて企業のfaviconを取得します。
この動的な組み立てにより、被害者の実際のログインポータルに酷似したパーソナライズされたフィッシングページが作成され、認証情報が侵害される可能性が大幅に高まります。
技術的指標と検知
セキュリティ研究者は、これらの悪性メールを正規のDocuSign通信と区別する複数の技術的な危険信号を特定しています。
最も顕著な指標は、送信者のなりすましに起因するSPF(Sender Policy Framework)認証の失敗です。
さらに、Reply-Toヘッダーが公式のDocuSignアドレスではなく、無関係な組織やGmailなどの一般的な公開メールプロバイダーを指していることが頻繁にあります。
URL構造にも不審なパターンが見られます。正規のDocuSignリンクが受信者のメールアドレスをURLパラメータとして渡すことはなく、IPFSゲートウェイやAWS S3ストレージバケットへリダイレクトすることもありません。
こうしたインフラの選択は、従来のURLブロックリストを回避し、運用上の柔軟性を維持するために設計されたフィッシング作戦の特徴です。
Group-IBの分析によれば、攻撃は信頼されている業務ツールをますます悪用しています。見慣れたブランドやプロフェッショナルな見た目により、日常的な業務フローの中で不正なメッセージが見過ごされやすくなるためです。
LogoKitのようなフレームワークのカスタマイズ機能により、攻撃者は複数の標的組織に対して説得力のあるなりすましを維持しつつ、作戦をスケールさせることが可能になります。
組織は、SPF、DKIM(DomainKeys Identified Mail)、DMARC(Domain-based Message Authentication, Reporting, and Conformance)の認証チェックを含む多層的なメールセキュリティソリューションを実装すべきです。
セキュリティ意識向上トレーニングでは、フィッシングメールの警告サインについて従業員に教育し、特に不審な送信者アドレス、Reply-Toヘッダーの不一致、異常なURL構造に焦点を当てる必要があります。
動的なフィッシングインフラを検知できる高度なメール保護プラットフォームは、LogoKitベースの攻撃に対する追加の防御層を提供できます。
フィッシング手口がますます高度な技術実装とともに進化し続ける中、組織はプロアクティブな脅威インテリジェンス戦略を採用し、信頼された業務コミュニケーションチャネルを悪用する認証情報収集キャンペーンから保護するために高度な検知能力を配備しなければなりません。
翻訳元: https://gbhackers.com/fake-docusign-login/
