- MicrosoftとCloudflareがMicrosoft 365認証情報を盗むフィッシングサービスを妨害
- RaccoonO365キットはCAPTCHA画面と偽のMicrosoftログインを使用
- この犯罪活動による収益は少なくとも10万ドルと推定
協力して、Microsoftのデジタル犯罪対策部門とCloudflareは、犯罪者が数千件のMicrosoft 365のユーザー名とパスワードを盗むのに利用していたフィッシングサービスの妨害に成功したと発表しました。
MicrosoftによってStorm-2246として追跡されているRaccoonO365は、公式のMicrosoftメッセージやログインページを模倣したサブスクリプションキットを販売していました。
2024年7月以降、これらのキットは94か国の被害者から少なくとも推定5,000件の認証情報を盗むのに使われました。
裁判所命令の取得
Microsoftは、このグループのリーダーをナイジェリア在住のJoshua Ogundipeと特定し、このサービスはTelegram上で数百人の購読者に向けて宣伝されていたと述べました。
Microsoftのデジタル犯罪対策部門によると、ニューヨーク南部地区の裁判所命令を取得した後、このグループが使用していた338のウェブサイトを差し押さえたとのことです。
「この事例は、サイバー犯罪者が広範な被害をもたらすのに高度な技術を必要としないことを示しています。RaccoonO365のようなシンプルなツールによって、サイバー犯罪はほぼ誰にでも手が届くものとなり、何百万ものユーザーが危険にさらされています」と同社は警告しています。
Cloudflareによると、Cloudforce OneおよびTrust and SafetyチームがMicrosoftと協力し、このサービスを支えていたインフラを解体したとのことです。
Cloudflareによれば、フィッシングキットはシンプルなCAPTCHA画面やボット対策を用いて正規のものに見せかけ、被害者を偽のMicrosoftログインページへ誘導していました。
認証情報が入力されると、攻撃者は多要素認証も回避し、セッションクッキーを盗むことができました。
同社は、Workerアカウントを無効化し、悪意あるドメインの前に警告ページを設置してアクセスを遮断しました。
このフィッシングサービスは階層型の価格モデルを採用しており、「RaccoonO365 Suite」のサブスクリプションは30日間で355ドル、90日間で999ドルで提供され、支払いは暗号通貨のみ受け付けていました。
Microsoftによれば、この活動はすでに少なくとも10万ドルの収益を上げており、実際の金額はさらに多い可能性が高いとのことです。
両社は、この取り組みをフィッシング・アズ・ア・サービス・プラットフォームの撲滅に向けた広範な努力の一環と位置付けています。
「我々の対応は、従来の単一ドメインのリアクティブな摘発から、より積極的かつ大規模な妨害への戦略的転換を示しています」とCloudflareは述べ、「RaccoonO365の運用コストを大幅に引き上げ、他の悪意ある行為者にも明確なメッセージを送ります。フリーティア(無料枠)は犯罪組織には高すぎる、ということです」と付け加えました。
