eSecurity Planetはこのほど、「Phishing Campaign Impersonates Booking.com, Plants Malware」において、宿泊予約サイト「Booking.com」になりすますフィッシング攻撃キャンペーンが確認されたとして注意を喚起した。

攻撃者は最終的にマルウェアを配布し、認証情報などを窃取するとみられる。

  • Phishing Campaign Impersonates Booking.com、Plants Malware

    Phishing Campaign Impersonates Booking.com, Plants Malware

フィッシング攻撃キャンペーンの概要

このキャンペーンはMicrosoft脅威インテリジェンスチームにより発見された。Microsoftの報告によると、この攻撃は2024年12月ごろに特定され、主に北米、オセアニア、アジア、ヨーロッパのホスピタリティ産業(ホテルなどの接客業)を標的にするという(参考:「Phishing campaign impersonates Booking .com, delivers a suite of credential-stealing malware | Microsoft Security Blog」)。

初期の攻撃手法として「Booking.com」になりすましたフィッシングメールが使用される。本文には問題の発生、アカウント情報の確認など、緊急性を訴える内容が含まれユーザーに対処を要求する。ユーザーがリンクや添付ファイルにアクセスすると、最終的にフィッシングサイトに誘導される。

Booking.comになりすましたフィッシングサイトは、偽のCAPTCHAを表示して人間確認に必要として悪意のあるコマンドの実行を要求する。指示に従いコマンドを実行すると、さまざまなマルウェアに感染する。

これは「CAPTCHAに回答するとマルウェアに感染、新しいサイバー攻撃に注意 | TECH+(テックプラス)」にて伝えた「ClickFix」攻撃と同じ手法とみられる。

  • 侵害経路 - 引用:Microsoft

    侵害経路 引用:Microsoft

対策

eSecurity Planetは同様の攻撃を回避するため、企業のセキュリティ担当者に次の対策の実施を推奨している。

  • 従業員にこのフィッシング攻撃の概要を伝え、教育する
  • すべてのアクセスポイントにフィッシング耐性のある認証方式および多要素認証(MFA: Multi-Factor Authentication)を導入する。ショートメッセージサービス(SMS: Short Message Service)はフィッシング耐性がないため使用しない

Microsoftはこのキャンペーンの脅威アクターを「Storm-1865」と名付け追跡している。この脅威アクターは2023年以降、同様の手法とマルウェアを使用して、認証情報や金融情報などを窃取するという。その手法は年々進化しており、従来のセキュリティ対策を回避するとしている。2025年2月時点において、本キャンペーンは継続中だとして警戒を呼びかけている。