はじめに:インド税務署を騙る新たなフィッシングキャンペーン
2025年11月、Raven AIのセキュリティ研究者たちは、インドの税務署を装った巧妙なゼロデイフィッシングキャンペーンを確認しました。この攻撃は、多段階のマルウェアチェーンを用いて国内の企業を標的とし、最終的にAsyncRATなどのリモートアクセス型トロイの木馬を配布していました。
巧妙な手口とその背景
攻撃は、政府機関の信頼性を悪用し、従来のメールセキュリティ防御を回避するよう綿密に設計されていました。フィッシングメールは、本物の税務コンプライアンス通知を模しており、ヒンディー語と英語の二言語コンテンツ、1961年所得税法の特定の条項への言及、そして72時間の緊急の期限といった心理的圧力をかける要素を含んでいました。
特筆すべきは、これらのメールがSPF、DKIM、DMARC認証チェックを通過した正規のQQ.comメールアカウントから発信されていた点です。これにより、送信者レピュテーションフィルタを回避していました。マルウェアの配信には、パスワード保護されたPDF添付ファイルやGoogle Docsでホストされたドキュメントが利用され、従来のアンチウイルスエンジンが実行前にペイロードをスキャンすることを不可能にしていました。
多段階にわたるマルウェア配布
第一の攻撃経路:AsyncRATローダー
最初のフィッシング亜種は「税務コンプライアンス欠陥および罰金通知」と称し、受信者をパスワード保護されたZIPファイルまたはGoogle Docsリンクへ誘導しました。解凍されると、これは「Trojan.Shellcode」および「Fragtor」として分類される10.48 MBのシェルコードローダーを露呈させました。このペイロードは、信頼されたWindowsユーティリティである「regsvr32」を悪用したファイルレス実行を通じて実行されるよう設計されており、静的シグネチャ検出を回避していました。ネットワークインジケータは、AsyncRATおよびResolverRATのコマンド&コントロールインフラへの接続を示していました。
第二の攻撃経路:GoToResolveなりすまし
第二の攻撃亜種は、「GoToResolveUnattendedUpdater.exe」という23.34 MBの実行ファイルを展開しました。これは「Hacktool.LogMeIn」として分類される不正なリモートアクセス型バックドアであり、正規のリモート管理プラットフォーム「GoToResolve」の正当なアップデートとして偽装していました。このマルウェアは、「RstrtMgr.dll」という疑わしいDLLをロードしましたが、これはContiやCactusなどの著名なランサムウェアファミリーがセキュリティプロセスの終了や永続化の確立に悪用することで知られています。この実行ファイルは、画面共有、ファイル転送、リモートコマンド実行を含む完全なリモート管理機能を備えており、初期侵害後に攻撃者がインタラクティブな横方向移動を計画していたことを示唆しています。
従来のセキュリティ対策を回避した理由
従来のセキュアメールゲートウェイは、以下の理由でこのキャンペーンを検出できませんでした。
- 認証インフラが検証を通過したため。
- パスワード保護された添付ファイルがコンテンツスキャンを妨げたため。
- 二言語コンテンツと正規の法的参照が、レガシーコンテンツフィルタの評価を困難にしたため。
- 攻撃者がAI生成のUnicodeフィラーテキストやランダムなスペースパターンを組み込み、ベイジアンフィルタリングアルゴリズムを回避したため。
インド企業が直面した脆弱性
インド企業は、いくつかの理由でこのキャンペーンに対して特に脆弱でした。税務関連のコミュニケーションがデジタルチャネルを通じて頻繁に行われること、コンプライアンスの期限が判断を曇らせる緊急性を生み出すこと、そして多くの中小企業が基本的なメールフィルタリングのみに依存していることが挙げられます。さらに、政府機関のなりすましは、特に金融サービス会社や証券会社の間で固有の信頼性を持ちます。
Raven AIによる検出の成功
Raven AIの検出成功は、従来のゲートウェイとは根本的に異なるアプローチに起因しています。彼らのプラットフォームは、既知の脅威シグネチャや認証プロトコルに頼るのではなく、通信の意図、行動シグナル、およびメタデータの不整合を分析しました。主要な検出シグナルには、外国のフリーメールボックスから発信された政府税務通知の身元不一致、書類提出要求を伴う虚偽の緊急性の行動パターン、そして通常の政府のワークフロー外でクラウドホスト型ペイロードが配信されている異常が含まれていました。
今後の対策と教訓
このキャンペーンは、インド企業を標的とするフィッシング戦術の決定的な進化を示しています。攻撃者は、本物の政府通信テンプレートを高度なマルウェアチェーンや誤用された正規のリモート管理ツールと組み合わせることで、ますます巧妙になっています。認証メカニズムが悪用され続ける中、組織は境界ベースのシグネチャのみに依存するのではなく、通信コンテキストと行動意図を評価する検出戦略を採用する必要があります。