MicrosoftとCloudflareは、サイバー犯罪者が数千件のMicrosoft 365認証情報を盗むのを助けていた大規模なフィッシング・アズ・ア・サービス(PhaaS)運用「RaccoonO365」を撲滅しました。
2025年9月初旬、CloudflareのCloudforce OneおよびTrust and Safetyチームと連携し、Microsoftのデジタル犯罪対策部門(DCU)は、RaccoonO365に関連する338のウェブサイトとWorkerアカウントを押収することで、このサイバー犯罪活動を撲滅しました。
このサービスの背後にいるサイバー犯罪グループ(Microsoftによる追跡名:Storm-2246)は、2024年7月以降、CAPTCHAページやアンチボット技術を組み込んだRaccoonO365フィッシングキットを使い、94カ国で少なくとも5,000件のMicrosoft認証情報を盗み出していました。これらのキットは正規のものに見せかけ、解析を回避するために設計されていました。
例えば、2025年4月には、RaccoonO365による大規模な税金をテーマにしたフィッシングキャンペーンが米国の2,300以上の組織を標的としましたが、これらのフィッシングキットは米国内の20以上の医療機関に対する攻撃にも使われていました。
被害者のOneDrive、SharePoint、メールアカウントから盗まれた認証情報、クッキー、その他のデータは、その後、金融詐欺や恐喝攻撃、または他の被害者システムへの初期アクセスとして利用されていました。
「これは公共の安全を脅かすものであり、RaccoonO365のフィッシングメールはしばしばマルウェアやランサムウェアの前兆となります。これらは病院にとって深刻な影響を及ぼします」と、Microsoftデジタル犯罪対策部門のアシスタント・ジェネラルカウンセルであるスティーブン・マサダ氏は述べています。
「これらの攻撃では、患者サービスが遅延し、重要な治療が延期または中止され、検査結果が損なわれ、機密データが漏洩することで大きな経済的損失が発生し、患者に直接影響を及ぼします。」
RaccoonO365は、プライベートなTelegramチャンネルを通じてサブスクリプション型のフィッシングキットを貸し出しており、2025年8月25日時点で840人以上のメンバーがいました。価格は30日プランで355ドル、90日サブスクリプションで999ドルで、すべてUSDT(TRC20、BEP20、Polygon)またはビットコイン(BTC)暗号通貨で支払われていました。
Microsoftは、このグループがこれまでに少なくとも10万ドル相当の暗号通貨を受け取っていると推定しており、約100~200件のサブスクリプションが存在すると見られていますが、実際の販売数はさらに多い可能性があります。
調査の過程で、Microsoft DCUはRaccoonO365のリーダーがナイジェリア在住のJoshua Ogundipeであることも突き止めました。
「Microsoftの分析によれば、Ogundipeはコンピュータプログラミングの経歴を持ち、コードの大部分を自ら作成したと考えられます」とマサダ氏は付け加えました。
「脅威アクターがうっかり秘密の暗号通貨ウォレットを公開してしまったことで、DCUは彼らの活動の特定と理解を進めることができました。Ogundipeに対しては刑事告発が国際法執行機関に送付されています。」
5月には、MicrosoftはLummaマルウェア・アズ・ア・サービス(MaaS)情報窃取ツールを標的とした共同撲滅活動で2,300のドメインも押収しています。
