はじめに:巧妙化するフィッシング攻撃
現在、世界中で新しいタイプの高度なTelegramフィッシング詐欺が猛威を振るっています。この手口は、従来のフィッシング詐欺とは異なり、マルウェアの導入や偽のログインページの作成に頼ることなく、Telegramの正規認証機能を悪用してユーザーのログインフローを乗っ取ります。攻撃者はTelegramの公式インフラと直接統合することで、ユーザーの完全なセッションへのアクセス権を不正に入手します。
攻撃手法の詳細:正規APIの悪用
この詐欺の最大の特徴は、攻撃者が自身のTelegram API認証情報(api_idとapi_hash)を登録し、それを用いて正規のログイン試行を開始する点にあります。このキャンペーンは主に以下の2つの方法で実行されます:
- QRコードログイン:フィッシングページにTelegram風のQRコードが表示され、被害者が自身のモバイルアプリでこれをスキャンすると、攻撃者のサーバー上で正規のログイン試行が開始されます。
- 手動ログイン:被害者が電話番号と、必要に応じてワンタイムパスワード(OTP)または二段階認証パスワードを入力すると、これらの情報が直ちにTelegramの公式APIに中継されます。
サイバーインテリジェンス企業CYFIRMAによって発見されたこのキャンペーンは、単純なパスワード窃盗を超えています。被害者を騙して、Telegramアプリ内で正規かつ攻撃者によって制御されたセッションを承認させることで、犯罪者はユーザーアカウントへの完全なアクセス権を手に入れます。
ソーシャルエンジニアリングの巧妙さ:ユーザー自身に承認させる
攻撃の最も重要な段階は、被害者が認証情報を提供するかQRコードをスキャンした後です。Telegramのセキュリティプロトコルにより、被害者の電話に新しいログインを承認するアプリ内システムメッセージが表示されます。ここで攻撃者はソーシャルエンジニアリングを駆使し、このステップを巧妙に操作します。
フィッシングサイトは、「ルーティンなセキュリティチェック」や「認証プロセス」といった誤解を招くメッセージを表示し、公式の承認プロンプトを装います。被害者は自身のアカウントを保護していると信じ込み、「これは私です」や「はい」をクリックして、攻撃者のデバイスを意図せず承認してしまいます。このようにユーザー自身が正規に承認するため、攻撃者は暗号化を回避したり、ソフトウェアの脆弱性を悪用したりすることなく、完全なアクセス権を得ることができます。
この脅威の重要性:検出の困難さ
技術分析によると、これは高度に組織化され、設定駆動型のキャンペーンであることが明らかになっています。フィッシングのインフラは集中管理されており、攻撃者は同じバックエンドロジックを再利用しながら新しいドメインを迅速に展開できます。
CYFIRMAの報告書は、「この発見は、主要な攻撃ベクトルとして、正規プラットフォーム機能の悪用への継続的な移行を浮き彫りにしており、検出、防止、およびユーザーの意識向上を困難にしている」と述べています。アカウントが侵害されると、そのアカウントは被害者の信頼できる連絡先にフィッシングリンクを送信するための拠点として利用され、キャンペーンの拡大を加速させます。
このキャンペーンは、サイバー犯罪の戦術における危険な変化を示しています。ユーザーに信頼されたTelegramアプリ内で最終的な承認ステップを実行させることで、攻撃者は多くの従来のセキュリティ検出を回避します。バックエンドコードに簡体字中国語の設定が見られることから、異なる地域へのユーザーを標的とした意図的な多言語サポートが示唆されています。
ユーザーへの推奨事項:自己防衛の徹底
ユーザーは、QRコードをスキャンした後や、サードパーティサイトに詳細情報を入力した後に表示されるあらゆる「セキュリティチェック」に極度の注意を払うよう忠告されます。自身が明示的に開始していない新しいセッションの承認を求めるアプリ内要求を受け取った場合は、直ちに拒否してください。