もう本物のWebサイトすら信用できない？　劇的に進化するフィッシング攻撃を超解剖：CODE BLUE 2024レポート

　トンダン氏は同チャットの文面にスペルミスがあったことからフィッシングであることを疑い、一応チャットに記載されたリンク先をクリックしてみると、そこで驚くような事態に遭遇したと話す。

Microsoftのセキュリティリサーチャーであるマンガタス・トンダン氏（筆者撮影）

　「リンク先は正規のBooking.comのページと全く同じ作りをしていました。興味深いのは、予約したホテル名や予約時の料金、私の氏名など漏れてはいけないはずの全ての予約情報が既に記載されていたことです。このような経験は一度や二度ではなく、3年間で5回も遭遇しました」

　同氏はこれまで遭遇した偽メッセージには幾つかの共通項があると指摘する。1つ目は公式のチャットから送られてくる点、2つ目は自分の予約情報が漏えいしている点、3つ目は「緊急」や「○○時間以内」といったユーザーを焦らせる文面である点だ。

　リンク先をクリックすると、偽のクレジットカード情報入力画面に遷移する。遷移先画面には個人の予約情報に加え、本来正規のWebサイトには実装されていない、入力したクレジットカード番号や有効期限が正確かどうかを確認する検証機能、オンライン決済の有効化機能、多要素認証（MFA）の認証要求の上限を取り払う機能、銀行のセキュリティ保護が有効かどうかを検証する仕組みなどが備わっていた他、偽のカスタマーサポートチャットまで実装されていた。

　「銀行情報の入力に問題があった場合、カスタマーサポートチャットを通じて彼らは問題を解決する手助けをしてくれるだろう」

　では、一体なぜ正規のWebサイトと全く同じ作りのWebサイトを実装できるのだろうか。トンダン氏はその疑問を解消するためにWebサイトのHTMLコードを解析した。その結果、偽のBooking.comのWebサイトは正規のものと全く同じコードを使用していることが分かったという。

　さらにここで疑問が生じる。正規のコードを模倣できたということはどこからかコード情報が漏えいしていたことになる。つまり、Booking.comのプラットフォームまたは加盟店・ホテル側のどちらかが被害に遭っているはずだ。トンダン氏が調査を進めると、ホテル側が情報窃取型マルウェアに感染していたことが判明した。

　「この攻撃手法は、私が遭遇したフィッシングキャンペーンで初めて使われたものではなく数年前からEコマースサイトなどで流行していたもので、主に欧州のユーザーを標的にしたものであることが分かりました。被害に遭っていたWebサイトはBooking.comだけでなく、2024年には『agoda』や『Airbnb』『Expedia』など主要な旅行サイトも含まれていました」

フィッシングキャンペーンの全体像と利用者・開発者が注意すべきこと

　トンダン氏はさらにコードの解析を進めることでこのフィッシングキャンペーンを仕掛けるサイバー攻撃グループの全体像についても明らかになったと語る。

　「コードを解析した結果、ロシア語のコメントやテキストがあったことから彼らはロシア系の脅威グループであることが分かりました。フィッシングと情報窃取型マルウェアを駆使してホテル側から認証情報を窃取するイニシャルアクセスブローカーが存在し、彼らが認証情報を私のようなユーザーを狙ったフィッシング実行者に売るといったエコシステムが構築されているのです」

今回のフィッシングキャンペーンにおけるエコシステムのイメージ図。ホテルの認証情報を窃取したイニシャルアクセスブローカーがフィッシング攻撃者に情報を売る。これを得たフィッシング攻撃者はホテルを装って旅行サイトのカスタマーに攻撃を仕掛けるという流れ（筆者撮影）

　トンダン氏は今回遭遇したキャンペーンの経験を踏まえて、Webサイト利用者とWebサイトの開発者に向けてそれぞれアドバイスを送った。Webサイト利用者に向けた推奨事項は以下の通りだ。

　Webサイトの開発者に向けた推奨事項は以下の通りだ。

• ユーザーアクセスをモニタリングする
• Webサイトログイン時にMFAを実装する
• ロギングの仕組みを整備する
• レッドチームを活用する
• 社内外に対してセキュリティの注意喚起を実施する