MicrosoftとCloudflare、巨大なフィッシング帝国に「ラグプル」作戦を実行

MicrosoftとCloudflareは、世界で最も高度なフィッシング作戦の1つに対して協調的な「ラグプル」を実行し、338のウェブサイトを押収、世界中のビジネスユーザーを標的とする数億通規模の悪質なメールを生み出していたインフラを解体しました。

この共同作戦はRaccoonO365（Microsoftの追跡名：Storm-2246）を標的としました。これは、Microsoftのデジタル犯罪対策部門のブログ投稿によると、認証情報の窃盗をサブスクリプションサービスに変えたナイジェリア主導の犯罪組織です。このフィッシング・アズ・ア・サービス・プラットフォームは、技術的な専門知識がなくても誰でもMicrosoft 365ユーザーに対して壊滅的な攻撃を仕掛けられるようにしていました。

「この事件は、サイバー犯罪者が高度な技術を持たなくても大規模な被害を引き起こせることを示しています。RaccoonO365のようなシンプルなツールがサイバー犯罪をほぼ誰にでも可能にし、何百万人ものユーザーを危険にさらしています」とMicrosoftは摘発作戦の発表で述べています。

大規模化のために構築された犯罪組織

RaccoonO365は、正規のテクノロジー企業さながらの高度な運営を行っており、階層化された料金プランやカスタマーサポートまで備えていたと、Microsoftの調査で判明しました。

「これにより、技術的なスキルがほとんどない人でも、公式のMicrosoftの通信を装ってMicrosoftの認証情報を盗むことができました」とMicrosoftはブログで付け加えています。

このサービスはTelegramで845人の購読者を抱え、少なくとも10万ドルの暗号通貨による支払いを集めていました。サブスクリプションプランは30日間で355ドルから90日間で999ドルまでありました。

Microsoftによると、2024年7月以降、このプラットフォームは94カ国で少なくとも5,000件のMicrosoft認証情報の窃盗を助長しました。各サブスクリプションで犯罪者は1日あたり最大9,000件のメールアドレスを標的にでき、調査官はこれにより年間数億通の悪質なメッセージが生み出されたと推定しています。特に危険なのは、このサービスが多要素認証の保護を回避してユーザーの認証情報を盗み、被害者のシステムへの永続的なアクセスを得られることが判明した点です。

医療システムは特に脆弱で、Microsoftによると、少なくとも米国の20の医療機関が攻撃を受けたことが記録されています。標的は戦略的で、これらの攻撃は病院システムを停止させ、患者の命を危険にさらすランサムウェアの展開の足がかりとなることが多いとされています。

この脅威は十分に重大だったため、医療分野のサイバーセキュリティ非営利団体Health-ISACが、Microsoftとともに法的措置の原告に加わったとブログは付け加えています。

この作戦はまた、今年初めに2,300以上の米国組織を標的とした税金をテーマにしたフィッシングキャンペーンを通じて、その規模を示しましたとMicrosoftは報告しています。

法的勝利とその限界

Microsoftの調査で、ナイジェリア在住のJoshua Ogundipeがこの作戦のリーダーであり主な設計者であることが特定されました。同社は8月下旬にOgundipeと、John Doeとして記載された4人の共犯者に対して訴訟を起こし、9月初旬にはニューヨーク南部地区連邦地方裁判所からRaccoonO365に関連する338のウェブサイトの押収命令を取得しました。

「Microsoftの分析によると、Ogundipeはコンピュータプログラミングの経歴があり、コードの大部分を自ら作成したと考えられています」とMicrosoftは述べています。

しかし、この法的勝利にも実際的な限界があるかもしれません。裁判所はOgundipeとその共犯者に対して差止命令を出しましたが、この命令は米国外ではほとんど効力がないため、被告らは依然として自由の身です。MicrosoftはOgundipeについて国際的な法執行機関に刑事告発を提出しましたが、管轄権の問題から起訴は依然として困難です。

技術的な高度さと摘発作戦

Microsoftの分析によると、RaccoonO365は高度な回避技術を駆使しており、最近では「RaccoonO365 AI-MailCheck」というAI搭載サービスを宣伝し始め、作戦の拡大と攻撃の効果向上を狙っていました。犯罪者たちは、セキュリティ対策を回避し、研究者や自動化システムによる検知を避けるために洗練された手法を用いていました。

協調的な妨害活動は2025年9月2日に始まり、Microsoftが法的戦略を進める一方で、Cloudflareは「戦略的ラグプル」と呼ぶ作戦を実行しました。Cloudflareの分析によると、犯罪者たちはCloudflare Workersを中間層として戦略的に展開し、バックエンドのフィッシングサーバーを隠していました。

「攻撃者の最終的な目的は、被害者アカウント（OneDrive、SharePoint、メールを含む）から盗んだ認証情報、クッキー、データを購読者に提供することであり、それにより金融詐欺や恐喝、さらにはより大規模な攻撃の初期アクセスとして利用できるようにすることでした」とCloudflareは分析で述べています。

Cloudflareは3日間かけてRaccoonO365のインフラを体系的に解体し、数十のWorkerアカウントを停止、特定されたすべてのドメインに「フィッシング警告」ページを設置しました。インフラ崩壊に直面した犯罪者たちは、9月5日にTelegramで必死に投稿し、妨害を「計画された再生」として再解釈しようとしました。

摘発作戦は9月8日に完了したと、Cloudflareは報告書で付け加えています。

産業化するサイバー犯罪への課題

RaccoonO365事件は、Microsoftが「詐欺や脅威が指数関数的に増加する恐れのある、サイバー犯罪の新たな憂慮すべき段階」と呼ぶものの典型例です。Microsoftは、RaccoonO365のようなサービスの急速な開発、マーケティング、利用のしやすさは、サイバー犯罪が産業化し、サブスクリプションモデルによって技術力に関係なく高度な攻撃が可能になっていることを示していると指摘しています。

摘発の成功には、Microsoftが新たなツールを調査に統合する必要がありました。

「例えば、私たちはChainalysis Reactorのようなブロックチェーン分析ツールを調査に統合しています」とMicrosoftデジタル犯罪対策部門のアシスタント・ジェネラルカウンセル、Steven Masada氏はブログで述べています。「これにより、犯罪者の暗号通貨取引を追跡し、オンライン活動を実際の身元に結びつけて、より強力な証拠を得ることができます。」

しかし、Microsoftは依然として大きな課題が残っていることを認めています。

「現在の国際法の継ぎはぎ状態は大きな障害であり、サイバー犯罪者はこうした隙間を悪用しています」と同社は述べています。「各国政府はサイバー犯罪法を調和させ、国境を越えた起訴を迅速化し、犯罪者が罰を逃れて活動できる抜け穴を塞ぐために協力しなければなりません」とMicrosoftは警告し、訴訟の提起は始まりに過ぎず、犯罪者が再び活動を再構築しようとすることを予想していると述べています。