0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@SFITB(🐱 🍓)

正規サービスと同じ環境を使ったフィッシングサービス(PhaaS)

0
Last updated at Posted at 2026-02-03

検知困難なフィッシングサービス(PhaaS)

以下の記事は、タイトルの内容を含む記事です。

この記事は、フィッシングサイトをドメインでフィルタリングしたり、検知が難しいことを示唆しています。

また、二要素認証突破の手法などの記載もあり、増々、ユーザーがフィッシングにかかり易くなってることをしてます。

元々スキルの高いクラッカーがAIを使い更に攻撃の質量をあげていたり、こうしたクラッキング用のSaaSの利用も増えています。

そして、国家ぐるみでのサイバーアタックをしている所は、逮捕の危険性もないので、攻撃の手が緩まることは考えにくい状態でもあります。

こうした情報収集をして日頃からセキュリティ意識を高め、対策していくことが以前にも増して重要だと考えます。

企業内はもとより、家庭内での注意も必要だと思います。

以下、Gemini による和訳と解説です。
参考になればと思います。

Gemini 3.0 Proによる和訳と要約

※2026.2.4時点のモデルを利用しています。

ANY.RUNのブログ記事「Enterprise Phishing: How Attackers Abuse Microsoft & Google Platforms」の内容を和訳し、その重要なポイントを解説します。

1. 記事の和訳(要約・主要セクション)

タイトル:エンタープライズ・フィッシング:攻撃者がMicrosoftとGoogleのプラットフォームをいかに悪用しているか

【主なポイント】

  • 現代のフィッシングキャンペーンは、使い捨てのドメインではなく、信頼されたクラウドインフラ(Azure, Google Firebase等)に依存している。
  • **AiTM(中間者攻撃)**型フィッシングキットが、企業を標的とした攻撃の主流となっている。
  • Cloudflare、Microsoft Azure、Google Firebase、AWSなどが頻繁に悪用されている。
  • IPアドレスやTLSフィンガープリントといった従来のインジケーター(IOC)は、もはや信頼できなくなっている。

【攻撃の背景:信頼されるインフラの悪用】

ANY.RUNの観測によると、フィッシングのインフラを、新規ドメインではなく正規のクラウドやCDNプラットフォームにホストする傾向が強まっています。これにより、セキュリティチームは「信頼されたプラットフォームからの通信」として処理してしまい、検知が極めて困難になります。

【主要なフィッシングキット】

  • Tycoon2FA: 多要素認証(MFA)を回避するために設計されたPhaaS(Phishing-as-a-Service)。
  • Sneaky2FA: ビジネスメール詐欺(BEC)で使用されるAiTMツール。
  • EvilProxy: 幹部のアカウント乗っ取りを目的としたリバースプロキシ型キット。

【なぜCloudflareや正規クラウドが使われるのか】

  • 検知の複雑化: Cloudflareをリバースプロキシとして使うことで、攻撃者の本当のサーバーIPが隠蔽される。
  • ブロックの困難さ: 正規のCDNやクラウドサービスのIPをブロックすると、業務に必要な通信まで遮断してしまうリスクがある。
  • 回避技術の組み込み: CAPTCHA(Cloudflare Turnstile)やジオフェンシングを容易に導入でき、解析を妨害できる。

2. 記事の解説と重要事項

この記事が警告しているのは、**「見た目や送信元ドメインだけでフィッシングを判断する時代は終わった」**ということです。

① 「AiTM(Adversary-in-the-Middle)」の脅威

従来のフィッシングは「偽のサイトにパスワードを入力させる」だけでしたが、今の主流は「攻撃者がユーザーと正規サイトの間に入り込む」方式です。

  • 仕組み: ユーザーが偽サイトにログインすると、攻撃者はそれをリアルタイムで正規サイトに転送します。
  • MFA(二要素認証)の突破: ユーザーが入力した「ワンタイムパスワード」や「認証クッキー」も攻撃者がリアルタイムで横取りするため、二要素認証を設定していてもアカウントが乗っ取られます。

② 「正規ドメイン」へのホスト

記事内で特に注目すべきは、フィッシングページが blob.core.windows.net (Microsoft Azure) や web.app (Google Firebase) といった、本来安全であるはずのドメイン上に作られている点です。

  • URLフィルタリング製品が「Microsoftのドメインだから安全」とスルーしてしまう。
  • 証明書も正規のものが発行されているため、ブラウザで「鍵マーク」が表示され、ユーザーが信じ込んでしまう。

③ 企業ターゲットの巧妙化

特に「Sneaky2FA」のようなキットは、gmail.com などの個人アドレスを排除し、特定の企業のドメインのみを受け付けるように設定されています。これにより、一般ユーザーを狙う「バラマキ型」ではなく、特定の組織を狙う「標的型」として精度を高めています。
結論としての対策
記事は、従来の「ブラックリスト方式(怪しいIPやドメインを止める)」では不十分だと結論づけています。

  • サンドボックス解析: URLをクリックした後の挙動(リダイレクト先や通信内容)を動的に解析すること。
  • 最新の脅威インテリジェンス: Tycoon2FAなどの既知のキットが使用する特有の通信パターンを把握すること。
  • 従業員教育の更新: 「鍵マークがあるから安全」「Microsoftのサイトだから安心」というこれまでの常識を疑う必要があることを周知すること。

まとめ

一言で言えば、**「正規のクラウドサービスの中に悪意ある仕組みが完全に溶け込んでいる」**という、非常に高度なフィッシング手法が一般化していることを示すレポートです。

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?