概要
サイバー犯罪の主要な脅威であるフィッシング攻撃が、その手口を巧妙化させています。FBIの報告によると、2024年には19万件以上のフィッシングおよびスプーフィングに関する苦情が寄せられ、その被害額は166億ドルに上ります。特にGroup-IBの2025年ハイテク犯罪トレンドレポートでは、フィッシング活動が前年比で22%増加したことが示されており、攻撃者が初期アクセスを得るために欺瞞的な戦術に大きく依存している実態が浮き彫りになっています。その中でも、Group-IBの研究者たちは、2025年8月下旬から活動している、DocuSignを装った洗練されたフィッシングキャンペーンを特定しました。
攻撃の概要と手口
DocuSignを偽装した攻撃は、ビジネスコミュニケーションの信頼性を悪用し、多忙な業務時間中に受信者を騙します。攻撃者は、正当なDocuSign通知に酷似した巧妙なメールを送信し、新しい文書の確認を促します。これらのメッセージは、受信者のログイン名を使い、送信元アドレスをターゲット組織のドメインに偽装することで、信頼性を装っています。
このキャンペーンの巧妙さは、その技術的な実装にあります。被害者が「ドキュメントを確認する」ボタンをクリックすると、IPFS (InterPlanetary File System) ゲートウェイまたはAmazon Web Services (AWS) S3バケットにホストされたURLにリダイレクトされます。これらのプラットフォームは合法的なサービスであるにもかかわらず、そのアクセシビリティと悪意のあるコンテンツの迅速なブロックの難しさから、フィッシング攻撃者によって頻繁に悪用されています。
認証情報窃取ページは、LogoKitと呼ばれる特殊なフィッシングフレームワークを使用してリアルタイムで構築されます。悪意のあるページがロードされると、URLパラメータから被害者のメールのドメインを抽出し、この情報を使用して偽のログイン画面の外観をカスタマイズします。LogoKitは、thum.ioサービスを通じてターゲット組織のウェブサイトの背景スクリーンショットや、ClearbitまたはGoogleのファビコンサービスを通じて企業のファビコンを自動的に取得します。この動的な組み立てにより、被害者の実際のログインポータルに酷似したパーソナライズされたフィッシングページが生成され、認証情報が侵害される可能性が著しく高まります。
技術的な兆候と検出
セキュリティ研究者は、これらの悪意のあるメールを正当なDocuSignの通信と区別するためのいくつかの技術的な兆候を特定しています。
- 最も顕著な兆候は、送信者スプーフィングによるSPF (Sender Policy Framework) 認証の失敗です。
- また、Reply-ToヘッダーがDocuSignの公式アドレスではなく、無関係な組織やGmailのような一般的な公開メールプロバイダーを指していることが頻繁にあります。
- URL構造も疑わしいパターンを示しています。正当なDocuSignリンクは、受信者のメールアドレスをURLパラメータとして渡すことはなく、IPFSゲートウェイやAWS S3ストレージバケットにリダイレクトすることもありません。
これらのインフラ選択は、従来のURLブロックリストを回避し、運用上の柔軟性を維持するために設計されたフィッシング操作の典型です。Group-IBの分析によると、攻撃は信頼されているビジネスツールを悪用する傾向があり、お馴染みのブランドとプロフェッショナルな外観が、日常のワークフローで不正なメッセージを見過ごされやすくしています。LogoKitのようなフレームワークのカスタマイズ機能により、攻撃者は複数のターゲット組織で説得力のある偽装を維持しながら、その操作を拡大することができます。
組織への推奨事項
組織は、SPF、DKIM (DomainKeys Identified Mail)、DMARC (Domain-based Message Authentication, Reporting, and Conformance) 認証チェックを含む多層的なメールセキュリティソリューションを導入するべきです。セキュリティ意識向上トレーニングは、特に疑わしい送信者アドレス、不一致のReply-Toヘッダー、および異常なURL構造に焦点を当て、フィッシングメールの警告サインについて従業員を教育する必要があります。動的なフィッシングインフラを検出できる高度なメール保護プラットフォームは、LogoKitベースの攻撃に対する追加の防御層を提供することができます。
フィッシングの手口がますます高度な技術的実装で進化し続ける中、組織は、信頼されたビジネスコミュニケーションチャネルを悪用する認証情報窃取キャンペーンから保護するために、積極的な脅威インテリジェンス戦略と高度な検出能力を展開する必要があります。