メール脅威レーダー – 2025年7月
2025年7月24日、Threat Analyst Team
7月中に、Barracudaの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。その多くは、人気のフィッシング・アズ・ア・サービス(PhaaS)キットを活用していました。脅威には以下のものが含まれます:
- Tycoon PhaaSがAutodesk Construction Cloudを偽装した資格情報フィッシング攻撃
- 米国在住のドライバーを標的とした偽の道路料金違反詐欺
- PhishingメールがZix Secure Messageサービスを模倣
- EvilProxy攻撃がRingCentralを偽装
- Gabagoolフィッシングキットがビジネス生産性ツールを悪用した毒性PDF
- CopilotとSharePointのブランドを組み合わせたフィッシング攻撃
- LogoKit Roundcubeウェブメールサービスを利用した資格情報窃取攻撃
- Tycoonリンクをドキュメントダウンロードとして配布
Autodesk Construction Cloudを悪用したフィッシング攻撃
脅威の概要:
Barracudaの脅威アナリストは、攻撃者がAutodesk Construction Cloudを悪用して高度なフィッシング攻撃を配信していることを確認しました。Autodesk Construction Cloudは、設計から建設、プロジェクト管理、予算管理まで、建設プロジェクトに携わる人々が利用するオンラインコラボレーションツールのセットです。
Barracudaが確認した攻撃では、攻撃者は信頼できる役員を装い、Autodesk経由で公式に見えるプロジェクト通知を送信します。これらの通知は、Autodeskがホストするページに誘導し、一見無害なZIPファイルが含まれています。
ZIPファイルには、フィッシング攻撃を開始するHTMLファイルが含まれています。
HTMLファイルを開くと、フィッシング攻撃でよく使われる偽のCAPTCHA認証画面が表示されます。これは攻撃に信憑性を与え、自動セキュリティ検出を回避する効果があります。ユーザーは、本物そっくりのページでMicrosoftのログイン資格情報を入力するよう促されます。
このキャンペーンでは、Microsoftのログイン画面を模倣し、二要素認証の保護を回避するように設計された「Tycoon 2FAフィッシングキット」が使用されています。
攻撃者は米国在住のドライバーを標的とした新たな料金詐欺キャンペーンを展開
脅威の概要:
米国在住のドライバーを標的とした新たなフィッシング詐欺が、未払いの料金に関する偽の通知を送信しています。被害者はテキストメッセージ、メール、または電話で緊急のメッセージを受け取ります。これらのメッセージは、正規の料金徴収機関から送信されたように見えます。メッセージでは、受取人が料金を支払わない場合、アカウントの停止や法的措置が取られると脅迫します。
メッセージには、車番やクレジットカード情報などの機密情報を入力させる偽のウェブサイトへのリンクが含まれています。詐欺師はこれらの情報を収集し、金銭的利益や身分盗用目的に利用します。
緊急性を強調し、公式ブランドを偽装する手法は、受信者がメッセージの正当性を確認せずに迅速に行動するよう圧力をかけ、この詐欺の有効性を高めています。
Zix Secure Message Centerを偽装したフィッシングキャンペーン
脅威の概要:
このキャンペーンは、医療、金融、法律、政府機関など多くの組織で利用されている暗号化メールサービス「Zix Secure Message Center」を模倣しています。
被害者は、安全なメッセージに関するメールを受け取り、リンクをクリックして閲覧するよう促されます。リンクをクリックすると、偽のZixページに誘導され、メールアドレスの入力が求められます。その後、ユーザーは資格情報を盗むために設計された偽のMicrosoftログインページにリダイレクトされます。
このキャンペーンは、Zixの実際のワークフローとブランドを忠実に再現しているため、受信者が詐欺に気づきにくい点が特徴です。ZixやMicrosoft 365などのメール暗号化サービスを利用している組織は特にリスクが高いです。
EvilProxyによるRingCentralを偽装した偽のボイスメール攻撃
脅威の概要:
Barracudaの脅威アナリストは、偽のボイスメール通知を利用して被害者を悪意のあるサイトに誘導し、資格情報を入力させる高度なフィッシング攻撃を確認しました。
RingCentral(人気のクラウドベースのビジネスコミュニケーションおよびコラボレーションプラットフォーム)を装った攻撃者は、個人情報を盛り込んだ「新しいボイスメール」に関する説得力のあるメールを送信します。再生ボタンをクリックすると、信頼できるニュースレタープラットフォーム(Beehiiv)から始まり、正当なクラウドホスティング(Linode)を経由し、最終的にglitch.meでの検証ステップにリダイレクトされます。
これらのステップは攻撃の検出を回避し、信頼性を高めます。最終的な目的地は、Microsoftの資格情報を収集するために設計されたEvilProxy PhaaSキットを使用したフィッシングページで、一般的なセキュリティチェックを bypass します。この多層的なアプローチにより、攻撃は検出が困難で非常に効果的です。
サマリ
Gabagoolフィッシングキットがビジネス生産性ツールを悪用し、有害なPDFを拡散
脅威の概要:
Gabagoolは、ステルス性と効果で知られる高度なPhaaSキットで、企業や政府の従業員を標的とした高度な資格情報の窃取戦術を使用します。Barracudaの脅威アナリストは、GabagoolとNotion.comのビジネス生産性ツールのファイル共有機能を使用して、フィッシングリンクを含む悪意のあるPDFファイルを配布する攻撃者を検出しました。これらのPDFは、ユーザーの資格情報を窃取する目的で設計されたフィッシングページに誘導します。信頼されたプラットフォームと一見無害なPDFファイルを悪用することで、攻撃者は標準的なセキュリティ対策を回避する可能性を高めています。
CopilotとSharePointのブランドを組み合わせたフィッシング
脅威の概要:
サイバー犯罪者は、Microsoft SharePointとCopilotのブランドをフィッシングスキームに組み込み、内部またはベンダーのアカウントから送信された本物の「ドキュメント共有」アラートのように見えるメールを作成しています。これらのメッセージは、受信者にリンクをクリックさせ、巧妙に偽装されたMicrosoftログインページに誘導します。このキャンペーンは、Microsoftツールに依存する組織を標的とし、不注意な従業員からログイン資格情報を収集することを目的としています。
LogoKitはRoundcubeウェブメールサービスを利用して資格情報窃取をサポート
脅威の概要:
このフィッシングキャンペーンは、Roundcubeの無料オープンソースウェブメールクライアントのユーザーを標的とし、パスワードが48時間以内に失効するとの偽の警告を表示します。メッセージには、現在のパスワードを維持するためと称するリンクが含まれていますが、これはLogoKitツールキットを使用して作成されたフィッシングサイトに誘導されます。ここでユーザーは資格情報を入力するよう促され、その情報が攻撃者に収集されます。
Tycoon PhaaSリンクがプロジェクト文書ダウンロードとして配布
脅威の概要:
このフィッシングキャンペーンは、『Project Overview.pdf』などの正当なビジネス文書を装ったメールを流通させています。被害者はダウンロードリンクをクリックするよう誘われ、複数の中間ページを経由して悪意のある意図を隠蔽した後、最終的にTycoon PhaaSホストのフィッシングサイトに誘導されます。このモジュール式で回避性の高い戦略は、攻撃者が検出を回避し、悪意のあるURLの有効期間を延長するのに役立ちます。このキャンペーンは、文書をやりとりすることに慣れたビジネスユーザーを標的とし、フィッシングリンクを信頼してクリックする可能性が高く、資格情報の盗難やビジネスへの侵害につながる可能性があります。
Barracuda Email Protectionが組織を支援する方法
Barracuda Email Protectionは、高度なメール脅威から防御するための包括的な機能セットを提供します。これには、フィッシングやマルウェアから保護するEmail Gateway Defenseや、ソーシャルエンジニアリング攻撃から守るImpersonation Protectionなどの機能が含まれます。さらに、侵害されたアカウントや詐欺ドメインに関連するリスクを軽減するための「Incident Response」と「Domain Fraud Protection」を提供します。サービスには、メールセキュリティの全体的な態勢を強化するための「Cloud-to-Cloud Backup」と「Security Awareness Training」も含まれます。
Barracudaは人工知能とMicrosoft 365との深い統合を組み合わせ、潜在的に破壊的なハイパーターゲティング型フィッシングやなりすまし攻撃から守る包括的なクラウドベースのソリューションを提供します。
詳細情報はこちらでご確認いただけます。
