インターネット検閲下で明らかになった巧妙なフィッシング作戦
事件の概要
最近、標的型フィッシング攻撃の詳細な分析が公開され、リアルタイム監視を可能にしながらユーザー認証情報を盗み取ることを目的とした巧妙な作戦の実態が明らかになりました。この暴露は重要な時期に起きました。イランが過去最長のインターネット遮断に直面し、広範な抗議活動と反対意見への弾圧を招いている最中だったからです。このような不安定な環境では、デジタル通信の保護はますます重要になる一方で、悪用されやすくもなります。
攻撃チェーンの掘り下げ
このフィッシング手口の調査は、戦略的に作り込まれた攻撃であることを示しています。Gharibと特定された標的に送られた紛らわしいWhatsAppメッセージが受信者を誘導し、DuckDNS上にホストされたフィッシングサイトへと導きました。DuckDNSは動的DNSサービスで、悪意あるサーバーの真の出所を隠すためによく利用されます。この手法により攻撃者は無害に見えるリンクを作成し、疑念を抱かせることなくユーザーを危険なページへリダイレクトさせました。
さらなる分析により、フィッシング環境は2025年11月に登録されたドメインに行き着きました。関連ドメインは、人気のバーチャル会議プラットフォームを模した名称で作られていました。この戦略により潜在的な被害者の網が広がり、攻撃者は認証情報を盗むか、標的を誘導して機微なデータを提供させることができました。同時に、フィッシングURLが正当でWhatsAppに関連しているように見えることも確保していました。
フィッシングページから得られた知見
フィッシングサイト自体は現在は停止していますが、研究者はそのソースコードから有益な情報を得ることができました。被害者にはGmailなどのサービスの偽ログインページが表示され、パスワードや二要素認証コードを収集する段階的な手順の一部として、電話番号の入力を促されました。この機能は攻撃の深さを示すだけでなく、多数のユーザーのセキュリティに対する警鐘ともなりました。
露出したデータとリアルタイム監視
最も憂慮すべき発見の一つは、攻撃者自身のサーバーに存在した脆弱性でした。研究者がフィッシングページのURLを調整したところ、被害者データをライブで収集しているファイルにアクセスできました。このファイルには850件を超える記録—ユーザー名、パスワード、ログイン失敗の試行、二要素コード—が含まれており、キーロガーのように機能していました。
漏えいしたデータには、国家安全保障を専門とする中東の学者、レバノンの上級閣僚、イスラエルのドローン企業を含む各分野の幹部など、多様な背景の人物が含まれていました。分析の結果、このフィッシングキャンペーンはWindows、macOS、iPhone、Androidといった複数のプラットフォームのユーザーを効果的に標的にしており、その影響範囲を広げていました。
単なる認証情報の窃取にとどまらず、フィッシングコードにはデバイス監視のための危険な機能も備わっていました。コードを調査したセキュリティ専門家のRuna Sandvikは、位置情報追跡、マイク、カメラといった重要機能へのアクセスを求める挙動を確認しました。許可されれば、ブラウザは一定間隔で位置情報を送信し、音声や映像を取得できる可能性がありました。ただし、露出したサーバー上にそのようなメディアが保存されている形跡はありませんでした。
さらに、一部の被害者はQRコードを含むWhatsApp風のページに遭遇しました。これをスキャンすると、被害者のWhatsAppアカウントが攻撃者の管理するデバイスに密かに関連付けられ、アプリのマルチデバイス機能を悪用してメッセージや連絡先への完全なアクセスを得られるようになっていました。
スパイ活動か、サイバー犯罪か、それとも両方か
攻撃の出所は依然として不明です。著名人物を精密に狙い、監視データの取得に重点を置いていることから、一部の専門家は国家支援の関与を疑っています。Citizen LabのGary Millerもこの見方に同調し、これらの活動は標的型サイバー作戦の歴史で知られるイスラム革命防衛隊に典型的なものと似ていると示唆しました。
しかし、金銭目的も無視できません。盗まれた認証情報は暗号資産ウォレットや企業アカウントへのアクセスに利用され得るため、この攻撃の背後に利益追求の動機がある可能性が浮き彫りになります。研究者Ian Campbellによるドメイン分析は、組織化されたサイバー犯罪と整合する傾向を示し、抗議活動の開始前に設立されたドメインもあることから、計画的な攻撃戦略が示唆されました。
さらに、一部のアナリストは、イランがサイバー活動を犯罪グループに委任している可能性があるというハイブリッドモデルを提案しており、国家支援のスパイ活動と金銭的動機の境界が曖昧になって帰属の特定を一層困難にしているとしています。
デジタル環境における継続的な脅威
研究者によれば明らかなのは、このフィッシングキャンペーンが複数のアカウントを侵害し、オンラインセキュリティに対する長期的な脅威となっていることです。デジタル抑圧や地政学的な緊張が高まる中、これは脆弱なコミュニティに対する厳しい警告となります。見慣れていて安心できそうなメッセージであっても、プライバシーの侵害や、自身のデジタル上の存在を制御できなくなる事態につながり得ます。こうした脅威を認識することは、より安全なオンライン環境を育むうえで不可欠です。
