新たなTelegramフィッシング詐欺がログインフローを乗っ取り、完全に認可されたユーザーセッションを盗む

新しく高度なTelegramフィッシング作戦が実際に活動しており、プラットフォームの正規の認証機能を乗っ取ることで、世界中のユーザーを標的にしています。

パスワードを盗むためにマルウェアやログインページの複製に依存しがちな従来型のフィッシングとは異なり、このキャンペーンはTelegramの公式インフラに直接組み込まれています。

攻撃者は自分自身のTelegram API 認証情報（api_id および api_hash）を登録し、それを使って実際のログイン試行を開始します。

この攻撃は主に2つの方法に対応しています：

1. QRコードログイン： フィッシングページにTelegram風のQRコードが表示されます。被害者がモバイルアプリでこれをスキャンすると、攻撃者のサーバー上で正規のログイン試行が開始されます。
2. 手動ログイン： 被害者は電話番号を入力し、求められた場合はワンタイムパスワード（OTP）または二段階認証パスワードも入力します。これらの入力は直ちにTelegramの公式APIへ中継されます。

サイバーインテリジェンス企業CYFIRMAによって発見されたこのキャンペーンは、単純なパスワード窃取の域を超えています。代わりに、Telegramアプリ内で攻撃者が制御する正規セッションを被害者に承認させ、犯罪者にユーザーアカウントへの完全なアクセスを与えます。

Telegramフィッシング詐欺

攻撃の重要な局面は、被害者が認証情報を提供するかコードをスキャンした後に訪れます。Telegramのセキュリティプロトコルにより、被害者のスマートフォン上でアプリ内のシステムメッセージがトリガーされ、新しいログインを確認するよう求められます。

攻撃者はソーシャルエンジニアリング を用いてこの段階を操作します。フィッシングサイトは誤解を招くメッセージを表示し、認可プロンプトを通常の「セキュリティチェック」や「検証プロセス」として位置づけます。

アカウントを保護していると信じた被害者は、Telegram公式のプロンプトで「これは私です」または「はい」をクリックします。

このプロンプトを承認することで、被害者は意図せず攻撃者の端末を認可してしまいます。セッションはユーザーによって正規に認可されているため、攻撃者は暗号化を回避したりソフトウェアの脆弱性を悪用したりする必要なく、完全なアクセスを得ます。

技術分析により、これは高度に組織化された、設定駆動型のキャンペーンであることが明らかになっています。フィッシング基盤は中央で管理されており、同じバックエンドロジックを再利用しながら新しいドメインを迅速に展開できるようになっています。

CYFIRMAのレポートは次のように述べています。「調査結果は、正規のプラットフォーム機能の悪用が主要な攻撃ベクトルへと移行し続けていることを浮き彫りにしており、検知・防止・ユーザー認知の難易度を高めている。」

いったんアカウントが侵害されると、被害者の信頼する連絡先へフィッシングリンクを送るための踏み台として使われることが多く、キャンペーンの拡散が増幅されます。

なぜ重要なのか

MITREフレームワーク

このキャンペーンは、サイバー犯罪の手口における危険な変化、すなわち正規のプラットフォーム機能の悪用を示しています。信頼されたTelegramアプリ内でユーザーに最終的な認可手順を実行させることで、攻撃者は多くの従来型セキュリティ検知を回避します。

バックエンドコードに簡体字中国語の言語設定が存在することは、意図的な多言語対応を示唆しており、攻撃者が異なる地域のユーザーを標的にできるようにしています。

ユーザーは、QRコードをスキャンした後やサードパーティサイトで情報を入力した後に表示される「セキュリティチェック」には、最大限の注意を払うよう勧告されています。自分で明示的に開始していない新しいセッションの認可を求めるアプリ内リクエストを受け取った場合は、直ちに拒否してください。