新たなフィッシング攻撃がSEGsを突破
2025年2月初旬に発見された新たなフィッシング攻撃が、セキュアメールゲートウェイ(SEGs)を巧妙に回避し、組織の境界防御を突破していることが判明しました。この攻撃は、ランダムなドメイン選択、動的なUUID生成、およびブラウザセッション操作という独自の組み合わせを悪用しています。
悪意のある添付ファイルや偽装されたクラウドコラボレーションプラットフォームに埋め込まれた特殊なJavaScriptが利用されており、従来のセキュリティツールでの検出とブロックが極めて困難です。Cofense Intelligenceは、この高度な脅威を「資格情報窃取戦術の重要な進化」と位置づけており、セキュリティ専門家や組織は早急な対応が求められています。
二重UUID欺瞞戦略の核心
この攻撃の中心にあるのは、「二重UUIDアプローチ」という前例のない洗練された手法です。スクリプトは、正当なWebライブラリホスティングサービス(cdnjs[.]cloudflare[.]com)からjQueryをロードすることから始まります。
攻撃者は、以下の2つの異なる識別子を生成します。
- ハードコードされたキャンペーンUUID(例: 6fafd0343-d771-4987-a760-25e5b31b44f):キャンペーン全体の追跡に使用されます。
- 動的に生成されるセッションUUID:個々の被害者を監視するために使用されます。
この二重追跡メカニズムは、正規のAPIを模倣しており、攻撃者は窃取した資格情報を特定の被害者と関連付けながら、キャンペーンレベルの分析を維持できます。このアプローチは、高度な技術力を持つ潤沢なリソースを持つ攻撃者を示唆しています。
ランダムな.orgドメイン選択の巧妙さ
従来のフィッシング攻撃で一般的なマルチドメインフェイルオーバーアプローチとは異なり、このスクリプトは、ハードコードされた9つのランダムなドメインリストから単一のランダムな.orgドメインを選択します。この異例の戦術は、ネットワークトラフィックを大幅に削減し、侵入検知システムが通常フラグを立てる兆候を最小限に抑えます。
特に、.orgドメインの選択は、セキュリティ認識に対する戦略的な理解を反映しています。.orgドメインは、正当性と信頼性の認識を伴うため、セキュリティツールによってブロックされる可能性が低くなります。これは、.orgドメインが.comなどの他のTLDよりも悪用される頻度が著しく低いという最近の脅威インテリジェンスと一致しており、従来のレピュテーションベースのフィルタリングシステムを回避する上で追加の利点をもたらしています。
サーバー主導の動的欺瞞
この攻撃の最も欺瞞的な側面は、「動的なページ置換」です。スクリプトは、ブラウザのアドレスバーのURLを変更することなく、サーバーから提供されたコンテンツでウェブページ全体を根本的に書き換えます。被害者のメールアドレスとセッションUUIDを含むHTTPS POSTリクエストが正常に送信された後、攻撃者のサーバーは、被害者の組織に合わせて調整された特別に作成されたログインフォームで応答します。
この手法は、MITRE ATT&CKフレームワークのT1185(ブラウザセッションハイジャック)に合致し、フィッシングページの正当性に対する被害者の信頼を維持しながら、攻撃の有効性を拡大します。
配信経路と推奨事項
この攻撃の配信経路には、HTMLベースのメール添付ファイルや、Microsoft OneDrive、SharePoint Online、DocuSign、Google Docs、Adobe Signなどの信頼できるクラウドコラボレーションプラットフォームを偽装した偽のリンクが含まれます。この多角的なアプローチは、広範なキャンペーンリーチを確保し、ブランド認知度を利用して被害者のエンゲージメントと資格情報侵害率を最大化します。
組織は、この進化する脅威から防御するために、直ちにメールセキュリティ管理を見直し、従来のゲートウェイフィルタリングを超えた追加の検証メカニズムを実装する必要があります。