Phishing-as-a-Service(PhaaS)プラットフォームは進化を続けており、攻撃者に企業アカウントへ侵入するためのより迅速かつ低コストな手段を提供しています。現在、ANY.RUNの研究者が新たな脅威を発見しました。それがSalty2FAです。このフィッシングキットは、複数の二要素認証方式を回避し、従来の防御をすり抜けるよう設計されています。
すでに米国およびEUでのキャンペーンで確認されており、Salty2FAは金融からエネルギーまで幅広い業界を標的とすることで企業を危険にさらしています。その多段階の実行チェーン、回避的なインフラ、資格情報や2FAコードを傍受する能力により、今年最も危険なPhaaSフレームワークの一つとなっています。
Salty2FAが企業にもたらすリスクの高まり#
Salty2FAはプッシュ通知、SMS、音声通話ベースの2FAを回避できるため、盗まれた認証情報がそのままアカウント乗っ取りに直結します。すでに金融、エネルギー、通信分野を狙っており、一般的なフィッシングメールを高インパクトな侵害へと変えてしまいます。
誰が標的となっているのか?#
ANY.RUNのアナリストはSalty2FAのキャンペーンをマッピングし、複数の地域と業界に活動が及んでいることを発見しました。特に米国とEUの企業が最も大きな被害を受けています。
| 地域 | 主な標的業界 |
| アメリカ合衆国 | 金融、医療、政府、物流、エネルギー、ITコンサルティング、教育、建設 |
| ヨーロッパ(英国、ドイツ、スペイン、イタリア、ギリシャ、スイス) | 通信、化学、エネルギー(太陽光含む)、産業製造、不動産、コンサルティング |
| 世界各地/その他 | 物流、IT、冶金(インド、カナダ、フランス、ラテンアメリカ) |
Salty2FAはいつから企業を攻撃し始めたのか?#
ANY.RUN SandboxとTIのデータによると、Salty2FAの活動は2025年6月ごろから勢いを増し始め、初期の痕跡は3月〜4月に遡る可能性があります。確認されたキャンペーンは7月下旬から現在まで継続しており、毎日数十件の新たな分析セッションが生成されています。
実例:Salty2FAが企業従業員をどのように悪用するか#
ANY.RUNが最近分析したケースは、Salty2FAが実際にどれほど巧妙かを示しています。ある従業員が「外部レビュー依頼:2025年支払い修正」という件名のメールを受信しました。これは緊急性を煽り、疑念を回避するための誘導です。
ANY.RUNサンドボックスで開封したところ、攻撃チェーンが段階的に展開されました:
 |
| Salty2FA攻撃を含む悪意のあるメールがANY.RUNサンドボックスで分析された様子 |
第1段階:メールによる誘導#
メールには、通常の業務連絡を装った支払い修正依頼が含まれていました。
世界中の15,000社以上の企業がANY.RUNを利用して調査時間を短縮し、侵害を迅速に阻止しています
第2段階:リダイレクトと偽ログイン#
リンクはMicrosoftのブランドを装ったログインページに誘導され、Cloudflareのチェックで自動フィルターを回避します。サンドボックス内では、ANY.RUNの自動インタラクション機能が認証を自動で処理し、手動操作なしでフローを可視化し、アナリストの調査時間を短縮します。
 |
| Cloudflare認証がANY.RUNサンドボックス内で自動的に完了 |
第3段階:認証情報の窃取#
従業員がページに入力した情報は収集され、攻撃者が管理するサーバーへ送信されました。
 |
| 被害者から認証情報を盗むための偽Microsoftページ |
第4段階:2FAのバイパス#
アカウントに多要素認証が設定されていた場合、フィッシングページはコードの入力を促し、プッシュ通知、SMS、さらには音声通話による認証まで傍受可能です。
ファイルをサンドボックスで実行することで、SOCチームは最初のクリックから認証情報の窃取、2FAの傍受まで、実行チェーン全体をリアルタイムで確認できます。この可視性は非常に重要です。なぜなら、ドメインやハッシュのような静的インジケーターは日々変化しますが、行動パターンは一貫しているからです。サンドボックス分析により、脅威の迅速な確認、アナリストの負担軽減、Salty2FAのような進化するPhaaSキットへのより良い対応が可能となります。
Salty2FA対策:SOCが今すぐ取るべき行動#
Salty2FAは、フィッシング・アズ・ア・サービスの進化の速さと、静的インジケーターだけでは防げない理由を示しています。SOCやセキュリティリーダーにとっては、行動パターンと対応速度に注目することが防御の鍵となります:
- 行動検知に依存する:絶えず変化するIOCを追いかけるのではなく、ドメイン構造やページロジックなどの繰り返し現れるパターンを追跡しましょう。
- 疑わしいメールはサンドボックスで実行:実行チェーン全体の可視化により、認証情報の窃取や2FA傍受の試みをリアルタイムで把握できます。
- MFAポリシーを強化:SMSや音声通話よりもアプリベースやハードウェアトークンを優先し、条件付きアクセスでリスクの高いログインを検知しましょう。
- 従業員に金銭的な誘導について教育:「支払い修正」や「請求書明細」などの一般的な誘導ワードには常に注意を促しましょう。
- サンドボックスの結果をシステムに統合:SIEM/SOARにライブ攻撃データを取り込むことで、検知速度が向上し、手作業の負担が減ります。
これらの対策を組み合わせることで、企業はSalty2FAを隠れたリスクから、認識し管理可能な脅威へと変えることができます。
インタラクティブサンドボックスでSOCの効率を向上#
世界中の企業が、Salty2FAのような高度なフィッシングキットへの防御を強化するため、ANY.RUNのようなインタラクティブサンドボックスを導入しています。その効果は明確です:
- インタラクティブ分析と自動化の組み合わせでSOC効率が3倍向上
- 調査時間が最大50%短縮、数時間から数分へ
- ユーザーの94%がトリアージの迅速化を実感、より明確なIOCやTTPで自信を持った意思決定が可能に
- Tier 1~Tier 2へのエスカレーションが30%減少、ジュニアアナリストの自信向上とシニアスタッフの重要業務への集中が実現
60秒以内に88%の脅威を可視化できることで、企業は大規模な侵害に至る前にフィッシングを阻止するためのスピードと明確さを手に入れています。
ANY.RUNを今すぐお試しください:より迅速な調査、強固な防御、そして測定可能な成果を求めるエンタープライズSOC向けに設計されています。
翻訳元: https://thehackernews.com/2025/09/watch-out-for-salty2fa-new-phishing-kit.html