バラクーダネットワークス、PhaaS(フィッシング・アズ・ア・サービス)に関する最新の調査結果を発表
~PhaaSフィッシングキット「Tycoon 2FA」がセキュリティ検査を回避するよう進化~
~2025年における認証情報を狙ったサイバー攻撃は、回避力の高いPhaaSを使った攻撃の割合が50%に増加する見込み~
~AIを活用することで、よりパーソナライズされたフィッシング攻撃が増加~
複雑な脅威に対応するサイバーセキュリティソリューションのリーディング企業であるバラクーダネットワークス(本社:米国カリフォルニア州)は、脅威アナリストによる新しい調査報告記事を発表しました。本レポートによると、広く使用されているフィッシング・アズ・ア・サービス(PhaaS)のキット「Tycoon 2FA」のアップデートが行われ、セキュリティツールがTycoon 2FAの悪意を確認し、Tycoon 2FAのフィッシング用Webページを検査することを困難にするように設計されたさまざまな戦術が追加されたことが分かりました。フィッシングキットは、サイバー攻撃者が複雑で標的を絞ったフィッシングキャンペーンを迅速に展開できるようにします。この調査結果は、PhaaS開発者がいかに高度で回避能力の高いツールセットやテンプレートを構築するために多大なリソースを投資していることを浮き彫りにしています。
バラクーダネットワークスの脅威アナリストによると、2024年に確認された認証情報を狙った攻撃の約30%がPhaaSを利用しており、2025年には50%に増加すると予想されています。
Tycoon 2FAは、Microsoft 365のセッションクッキーを収集して使用することで、攻撃者が2要素認証(2FA)セキュリティ対策を傍受および回避することを可能にします。2024年11月初旬、バラクーダネットワークスの脅威アナリストは、以前のバージョンよりもステルス性が高く、検出と分析を妨害するさまざまな高度な戦術を使用するTycoon 2FAの新バージョンの使用が増加していることを指摘しました。
これらの戦術には、以下が含まれます。
- 攻撃を仕掛けるために、合法的な(おそらくは侵害された)メールアカウントを使用する
- ウェブページの解析を妨害するために、特別に作成されたソースコードを使用する
- 自動セキュリティスクリプトや侵入テストツールの使用をブロックする
- ウェブ検査を示唆するキーボードでの入力を監視し、それ以降の活動をブロックする
- ウェブページの本当の目的が分かってしまう可能性のある右クリックメニューを無効にする
- オフラインでの解析のために、ユーザーがウェブページから意味のあるテキストをコピーすることをブロックする
バラクーダネットワークスのアソシエイト脅威アナリストであるDeerendra Prasadは以下のように述べています。
「フィッシングは、多くのリソースが投入された複雑で巧妙な攻撃ベクトルへと進化しています。この新しいエコシステムでは、PhaaSグループが重要な役割を果たしており、その役割はさらに増大すると予想されます。ここ数カ月の間に多数のフィッシングキャンペーンでTycoon 2FAが使用されていることを確認しており、サイバー攻撃者は、従来のセキュリティ対策を回避し、より深い分析を阻止するために、今後も手法を洗練させていくと予想されます。この進化し続ける脅威に対抗するためには、機敏かつ革新的な多層防御戦略を導入し、強固なセキュリティ文化を育むことが不可欠です」
Tychoon 2FAに関する詳細はこちらをご覧ください(英語のみ):
https://blog.barracuda.com/2025/01/22/threat-spotlight-tycoon-2fa-phishing-kit
また、フィッシング脅威の広がりを受け、以下にバラクーダネットワークスが2025年に注目する、警戒すべき他のフィッシングテクニックをご紹介いたします。
バラクーダネットワークスの脅威アナリストは、これまでに、セキュリティ対策を回避し、悪意のあるメールをより信憑性が高く、正当で、個人的に見せるために攻撃者が実装した、いくつかの高度なフィッシングテクニックに関する最近の調査に基づいて予測を行っています。
バラクーダネットワークスは、そのような高度なフィッシング技術が2025年には以下のように進化すると見込んでいます。
- フィッシング・アズ・ア・サービス(PhaaS)キットが、本年中には認証情報の盗難攻撃の割合が現在の30%から増加し、50%を占めるようになり、多要素認証(MFA)コードの盗難に進化する。
- 標的型攻撃では、受信者のソーシャルメディアや通信履歴の分析に基づくパーソナライズされた感情的な訴えかけが特徴となり、恐喝/性的恐喝攻撃が増加する。
- フィッシングコンテンツをメール本文から添付ファイルに移動することや、ASCIIベースのQRコード、Blob URIなどの回避テクニックがより広く実装される。
- 攻撃者は、より多くのコンテンツ作成およびデジタルパブリッシングプラットフォームを探し出し、悪用する。
認証情報の盗難
バラクーダの検出データによると、2024年には顧客を標的としたフィッシング攻撃の85%以上が認証情報の盗難を目的としていました。今後1年で、この割合は90%以上に増加すると予想されます。
正当な URL 保護サービスの悪用
2024年にバラクーダネットワークスの脅威アナリストが最も驚いた発見は、フィッシング攻撃者が、認証情報を盗むことを目的とした攻撃において、大手セキュリティベンダーを含む信頼されたURL保護サービスを悪用し、フィッシングリンクをマスキングしていることでした。この戦術については、7月に報告しましたが、現在も実施されています。
QRコードとボイスメールのフィッシング
QRコードとボイスメールのフィッシングは、現在、検知されたフィッシング全体の約20%を占めています。10月には、ASCII/Unicodeテキストブロックを使用して作成されたQRコードの出現について報告しましたが、この手口は今後も進化し続けると予想されます。ASCIIベースのQRコードや特別に細工されたBlob URIリンクの使用は、検知を回避するように設計されており、2025年以降も、これらの手口やその他の回避技術の開発と使用が継続し、増加すると予想されます。
人事部へのなりすまし
バラクーダネットワークスは、人事部を装ったフィッシング攻撃が増加すると予測しています。現在、このような攻撃は検知された攻撃の約10%を占めていますが、2025年中に、特に税金の申告期限の頃に増加すると予測しています。
コンテンツ作成および公開プラットフォームの悪用
2024年に確認されたフィッシング攻撃の約10%は、CCP(コンテンツ作成プラットフォーム)またはDDP(デジタル文書発行)サイトにホストされていました。この件については9月に報告しましたが、攻撃者がフィッシングページをホストするCCPやDDPサイトの数を拡大させているため、この傾向は今後も続くと予想されます。
悪意のある添付ファイル
悪意のある添付ファイルの使用は、今後も増加し続けるでしょう。すでに、フィッシングコンテンツがHTMLまたはPDFの添付ファイルに含まれ、メール本文が空欄またはごくわずかなテキストのみとなっているメールを多数確認しています。この行動は、機械学習に基づく本文の分析を回避しようとする試みであると推測されます。2025年には、この種の攻撃が増加すると予想されます。
パーソナライズされた恐喝
2024年中に、顧客を標的とした何百万件もの恐喝攻撃を観測しました。11月には、自宅や周辺の道路が映ったGoogleストリートビューや写真を使用して顧客を脅迫するこれらの攻撃がどのように進化しているかを報告しました。2025年には、恐喝攻撃がさらにパーソナライズされ、より高額な支払いが要求されるようになると予想しています。
すべてにAIを搭載
攻撃者は、フィッシング攻撃をできるだけ本物らしく見せるために、AI、正規サイト、リダイレクトをますます活用するでしょう。AIの力を借りることで、攻撃者は、正規の連絡メールとまったく同じように見える、さらに説得力のあるフィッシングメールを作成することができます。これには、受信者のソーシャルメディアや通信履歴の分析に基づく、パーソナライズされたコンテンツ、正確な文法、さらには人間のような感情的な訴えかけが含まれます。
進化する手法に対する防御
2024年の当社のレポートでは、フィッシング攻撃がより多様化、巧妙化し、機会順応型となっていることを示しています。この進化し続ける脅威に先手を打つには、機敏で革新的な多層防御戦略と強固なセキュリティ文化の醸成が不可欠です。
バラクーダネットワークスジャパンについて
米国Barracuda Networks Inc. の日本法人。バラクーダネットワークスは複雑な脅威に対応するサイバーセキュリティソリューションのリーディング企業です。当社のプラットフォームは、革新的なソリューションやマネージドXDRサービスを活用することでメール、データ、アプリケーション、ネットワークを保護し、サイバーレジリエンスを強化いたします。バラクーダネットワークス製品は全世界で多数のIT専門家やマネージドサービスプロバイダーからの信頼を得て、調達、導入、使用の容易なソリューションによるセキュリティ対策とサポートを利用いただいています。詳細については、barracuda.co.jpをご覧ください。
バラクーダネットワークス、バラクーダ、およびバラクーダネットワークスのロゴは、米国およびその他の国々におけるバラクーダネットワークス社の登録商標または商標です。
【報道関係者お問い合わせ先】
バラクーダネットワークス 広報代行 アシュトン・コンサルティング
Email: barracuda-japanpr@ashton.jp
