新しいフィッシングキット「Xiū gǒu」が2,000以上の偽サイトを使って5カ国のユーザーを狙う
サイバーセキュリティ研究者は、2024年9月からオーストラリア、日本、スペイン、英国、米国の5か国のユーザーを標的にしているXiū gǒuと呼ばれる新しいフィッシングの脅威を発見しました。この洗練されたフィッシングキットはすでに2,000を超える偽のWebサイトを生成しており、公共部門、郵便サービス、デジタルサービス、銀行などの業界全体に深刻なリスクをもたらしています。Xiū gǒuは、サイバー犯罪者が攻撃を仕掛けるハードルを下げるフィッシング攻撃の増加傾向を表しており、スキルの低いハッカーが被害者の個人情報に侵入することがこれまで以上に容易になっています。
Table of Contents
Xiū gǒu の仕組み: フィッシング戦術の新たな層
Xiū gǒu のようなフィッシング キットを使用すると、サイバー犯罪者は正規のサービスを模倣した説得力のある偽の Web サイトを簡単に作成できます。これらのサイトは多くの場合、ユーザーの認証情報やその他の個人データを盗み、攻撃者はそれを販売したり悪用したりできます。中国語を話す脅威アクターによって開発された Xiū gǒu は、Golang や Vue.js などの高度なテクノロジーを組み合わせて攻撃者の管理パネルを強化し、被害者からシームレスにデータを盗むことを可能にします。
Xiū gǒu は検出を回避するためにいくつかの高度な戦術を採用しています。その鍵となるのは、Cloudflare のボット対策機能とホスティング難読化の使用であり、これにより従来のセキュリティ システムではこれらのサイトを検出してブロックすることがより困難になっています。Xiū gǒu は偽サイトに「.top」ドメインを使用して検出をさらに回避し、盗んだ情報を Telegram 経由で送り込み、攻撃者が簡単にアクセスできるようにします。
リッチ コミュニケーション サービス (RCS): フィッシングの新たな手段
Xiū gǒu は、従来の SMS フィッシングに頼るのではなく、リッチ コミュニケーション サービス (RCS) を使用して被害者を誘い込みます。Apple メッセージ (iOS 18 以降) および Android 向け Google メッセージで利用できる RCS メッセージングは、ファイル共有、入力インジケーター、さらにはオプションのエンドツーエンド暗号化をサポートすることで、テキスト メッセージング エクスペリエンスを強化します。皮肉なことに、RCS の強化された機能は、これらの信頼できる通信チャネルを利用して偽の通知を送信するサイバー犯罪者にとって魅力的です。
Xiū gǒu の RCS ベースのフィッシング メッセージは、受信者が駐車違反金を支払わなければならない、または配送先住所を更新する必要がある、と主張することがよくあります。短縮 URL リンクが含まれており、被害者を偽のサイトに誘導して個人データを収集し、支払いをさせようとします。これらのメッセージは、よく知られているサービスになりすまし、緊急感を醸し出すことで、被害者を操り、機密情報を共有させます。
Google の対応: フィッシング詐欺に対抗するための保護の強化
Google は、こうした強化されたフィッシング手法がもたらす脅威を認識し、こうしたリスクに対抗するために RCS メッセージに対する新しい保護策を導入しました。このテクノロジー大手は最近、荷物の配達やその他の一般的なフィッシング詐欺に関連する不正なメッセージをフィルタリングするためのデバイス上の機械学習アルゴリズムを導入しました。さらに、Google はインド、タイ、マレーシア、シンガポールなどの地域でパイロット プログラムを開始し、未知の送信者から潜在的に危険なリンクを含むメッセージを受信した場合にユーザーに警告を発しています。この機能は 2024 年末までに世界中に拡大される予定で、疑わしいメッセージをより効果的にブロックすることを目指しています。
さらに保護を強化するため、Google ではユーザーが「既存の連絡先にない海外の送信者からのメッセージを自動的に非表示にする」ことも許可しており、これらのメッセージを「スパムとブロック」フォルダに入れて、表示を最小限に抑えます。
広範囲にわたる影響: 企業や個人を狙ったフィッシング攻撃
出回っている脅威は Xiū gǒu フィッシング キットだけではありません。Cisco Talos は、台湾の Facebook ビジネス アカウントおよび広告アカウント所有者を狙った進行中のフィッシング キャンペーンも明らかにしました。このキャンペーンは、Lumma や Rhadamanthys などの窃盗型マルウェアを配信し、機密情報を収集してビジネス アカウントを侵害する可能性があります。被害者は、会社の法務部門を名乗るメールを受信し、法的措置をちらつかせながら著作権を侵害していると思われるコンテンツを削除するよう要求します。メール内の悪意のあるリンクは偽の PDF ファイルをダウンロードし、被害者のデバイスをマルウェアに感染させます。
さらに、最近のフィッシング キャンペーンでは、OpenAI を装ったものが見られ、世界中の企業の受信者に支払い情報の更新を促すメッセージが送信されています。単一のドメインから何千もの受信者に送信されたこれらのメールは、検出を回避するためにメール本文に複数のハイパーリンクを使用しています。疑わしいにもかかわらず、これらのメールは DKIM および SPF チェックに合格し、受信者と自動メール セキュリティ システムの両方に正当なメールのように見えます。
Xiū gǒu のようなフィッシング キットが誰にとっても危険な理由
Xiū gǒu などのフィッシング キットは参入障壁を低くし、初心者のサイバー犯罪者でも最小限の技術スキルでフィッシング攻撃を成功させることができます。Xiū gǒu の管理パネルと使いやすいインターフェイスにより、攻撃者は偽のサイトを監視し、認証情報を収集し、被害者を一斉に狙うことが簡単にできます。これらのキットがダーク ウェブ マーケットプレイスでより入手しやすくなり、手頃な価格になるにつれて、フィッシング攻撃の数は増加する可能性があります。
こうした詐欺の被害に遭わないために、ユーザーは以下のセキュリティのベスト プラクティスに従う必要があります。
- リンクを慎重に検証する: 正当なソースから送信されたように見えても、迷惑メッセージ内のリンクをクリックすることは避けてください。代わりに、公式 Web サイトに手動で移動して URL を検証してください。
- 2 要素認証 (2FA) を有効にする: 多くのフィッシング攻撃はログイン認証情報を要求します。2FA はセキュリティをさらに強化し、攻撃者がパスワードを盗んだとしてもアカウントにアクセスするのを困難にします。
- セキュリティ機能の最新情報を入手する: Google などの企業が RCS セキュリティを強化しているため、ユーザーはアプリを最新の状態に保ち、提供される新しいセキュリティ機能を活用する必要があります。
- 緊急のリクエストには注意してください: 多くのフィッシング詐欺は、被害者にプレッシャーをかけるために緊急感を演出します。特に支払いやアカウントの確認に関するメッセージでは、即時の対応を要求するので注意してください。
最後に
Xiū gǒu フィッシング キットや同様の脅威は、サイバー犯罪の進化を示しています。フィッシング キットが高度化し、入手しやすくなっているため、ユーザーが警戒を怠らないことがこれまで以上に重要になっています。セキュリティのベスト プラクティスを実装し、最新の脅威を常に把握しておくことで、個人も企業も、ますます巧妙化する攻撃から身を守ることができます。
