Proofpointは5月6日(米国時間)、「CoGUI Phish Kit Targets Japan with Millions of Messages|Proofpoint US」において、日本を標的とするフィッシングキャンペーンが急増しているとして注意を喚起した。その原因の一つにフィッシングキット「CoGUI」の配布があるとし、その概要とキャンペーンの詳細を伝えている。
-
CoGUI Phish Kit Targets Japan with Millions of Messages|Proofpoint US
高度なフィッシングキットが日本語ユーザーを狙う
Proofpointによると、CoGUIはジオフェンシング、ヘッダーフェンシング、フィンガープリンティングなどを駆使した回避技術に加え、自動ブラウジングシステムやサンドボックスなどを検出できる高度なフィッシングキットとされる。これはセキュリティを回避しながら特定地域を標的とすることが可能で、標的国には重大な脅威になるという。
これまでに確認されたキャンペーンではAmazonに偽装するケースが大半を占め、他にも決済カード、交通カード、大手銀行、楽天やAppleなどの小売業者、国税庁に偽装したことが確認されている。
-
偽装ブランドの上位10件とそのキャンペーン数 引用:Proofpoint
CoGUIを使用したこれらキャンペーンでは日本語のフィッシングメールが大量に送付され、リンク先のフィッシングサイトから認証情報やクレジットカード情報などが窃取される。通常のフィッシングサイトは多要素認証(MFA: Multi-Factor Authentication)の情報収集も同時に行うが、これらキャンペーンでは多要素認証の収集はなかったという。
-
Amazonを装うフィッシングサイトの例 引用:Proofpoint
影響と対策
フィッシングキット「CoGUI」の主なユーザー(脅威アクター)は中国語圏の人物の可能性が高いとみられている。これら脅威アクターの主な標的は日本語を話すユーザーとされ、日本国外への攻撃においても日本企業の従業員を標的にしていることが確認されている。
目的は経済的利益とみられており、証券会社になりすましたフィッシング攻撃では、被害者の全保有株式の売却および中国株の購入により間接的利益を得たと推測されている(参考:「インターネット取引サービスへの不正アクセス・不正取引による被害が急増しています:金融庁」)。
Proofpointは同様の攻撃を回避するため、メールやメッセージ本文に記載されたリンクにアクセスしないことを推奨している。緊急性を訴える内容であっても一旦落ち着き、検索サイトやブックマークなどから公式Webサイトにアクセスして真偽を確認する対策方法を提案している。
また、このキャンペーンでは多要素認証の情報収集が行われないことから、すべてのオンラインアカウントに多要素認証を設定することも推奨されている。サービスを提供する企業にも多要素認証およびパスキーの導入と普及に努めることが望まれている。
誘導しないフィッシング攻撃に注意、Instagramユーザーを狙う
