Microsoftが危険なフィッシングネットワークを停止

janews – shutterstock.com

MicrosoftのDigital Crimes Unit（DCU）は、フィッシング・アズ・ア・サービス・プラットフォーム「RaccoonO365」を停止させました。レドモンドの同社によると、インフラを破壊するために338のウェブサイトが押収されました。

Microsoftが「Storm-2246」として追跡していたこのプラットフォームの背後にある犯罪ネットワークは、フィッシングキットのサブスクリプション提供に特化していました。捜査当局によれば、これにより技術的な知識が少ない攻撃者でも、非常に本物そっくりなMicrosoftのログインページを作成し、認証情報を盗むことができました。

急速に発展したフィッシングサービス

DCUによると、この方法で2024年7月以降、94か国で5,000件以上のアカウントが侵害されました。RaccoonO365はサイバー犯罪者に、毎日最大9,000件の潜在的被害者のメールアドレスを入力することを可能にしました。これにより、捜査当局の推計では、毎年数億件の悪意あるメッセージが生成される乗数効果が生まれました。さらにMicrosoftは、このサービスが多要素認証（MFA）を回避してユーザーの認証情報を盗み、被害者のシステムへの恒久的なアクセスを得ていたことも確認しました。

さらに、このプラットフォームの関係者は最近、新たなAIを活用したサービス「RaccoonO365 AI-MailCheck」を宣伝し、オペレーションのさらなる拡大と攻撃の効果向上を図っていました。

「わずか1年余りでRaccoonO365は急速に進化し、需要の増加に対応するため定期的にアップグレードを導入してきました。この急成長が、今こそプラットフォームに対して法的措置を講じる必要がある理由を明確に示しています」と、DCUレポートは強調しています。

首謀者を特定

捜査の過程で、犯罪組織のリーダーであるジョシュア・オグンディペ（ナイジェリア在住）も特定されました。オグンディペとその共犯者たちは、Telegramを通じてサービスを販売・宣伝し、顧客を増やしていました。活動を隠すため、複数の都市や国で架空の名前や住所を使ってドメインを登録していました。Microsoftによると、オグンディペはプログラミングの知識を持ち、コードの大部分を自ら作成していました。

DCUが犯人グループの足取りを掴んだのは、グループが誤って秘密の暗号通貨ウォレットを公開してしまったセキュリティホールによるものでした。これにより、DCUは活動の特定と分析を容易に行うことができました。オグンディペに対する刑事告発は、国際的な法執行機関に送付されました。

訴訟が提出された時点で、プラットフォームはTelegram上で850人以上のメンバーを抱え、少なくとも10万ドル相当の暗号通貨を得ていました。これは100～200件のサブスクリプションに相当しますが、実際の売上高はさらに多いとみられています。サブスクリプションは複数回利用可能で、1人のユーザーが1日に数千通のフィッシングメールを送信できるため、年間で数億通の悪意あるメールが送信される計算になります。

RaccoonO365は特定の業界に特化していなかったものの、DCUによれば、少なくとも米国の20の医療機関に対してもフィッシングキットが使用されたことが特に懸念されています。このサービスによるフィッシングメールは、マルウェアやランサムウェアの前兆として利用されることが多く、病院にとって深刻な影響を及ぼす可能性があります。たとえば、患者ケアの遅延、治療の中止、検査結果の危険、機密データの喪失などが挙げられ、これらは金銭的損害や患者への直接的なリスクにつながります。