サイバー犯罪者がM365用のフィッシングサービスを販売 大量の認証情報が盗まれた
より効率良くフィッシング攻撃を実行できるPhaaSが販売された結果、Microsoft 365の大量の認証情報が盗まれた。Microsoftは問題を放置せず、先頭に立って対策を実行した。
フィッシング攻撃は「数を打てば当たる」タイプのサイバー攻撃だ。そのため、いかに効率良く攻撃を実行できるかが鍵になる。
このような悪のニーズに応えるサービスがPhaaS(Phishing as a Service)だ。サイバー犯罪者は料金を支払うだけで自在にフィッシング攻撃を仕掛けられる。
サイバー犯罪者がM365用のフィッシングサービスを販売 大量の認証情報が盗まれた
あまりにも被害が大きくなったため、Microsoftが他社と協力してPhaaSを止めようと動いた。
Microsoftは「Raccoon0365」と呼ばれるPhaaSが2024年7月以降に使われ始め、94カ国の「Microsoft 365」の利用者から約5000件の認証情報が盗まれたと推定した(注1)。
このPhaaSは「Microsoft 365」のアカウント名やパスワードを盗むサブスクリプション型のサービスであり、技術力の低いサイバー犯罪者向けに販売されていた。
セキュリティサービスを提供するCloudflareによると(注2)、Raccoon0365は「Telegram」のあるチャネルで30〜90日利用できるサブスクリプション型のフィッシングキットを販売していた。Cloudflareはサービスを妨害する作戦でMicrosoftと協力した。
サイバー犯罪者たちはRaccoon0365を利用し、米国の幅広い業種にわたる2300以上の組織を標的にしていた。Microsoftによると、認証情報の窃取や税務申告のシーズンにおけるマルウェアの設置を狙った攻撃が多かった(注3)。
法的措置でPhaaSを停止
2025年9月16日(現地時間、以下同)、MicrosoftはこのPhaaSが世界中の医療機関を標的とした攻撃を支えており、破壊作戦を展開した結果、成功したと発表した。
Microsoftはニューヨーク南部地区連邦裁判所の判事から許可を得て(注4)、Raccoon0365が使用していた338のWebドメインに対する差し押さえを実行した。
Microsoftは裁判所に対して、従業員がRaccoon0365からフィッシングキットを購入するテストを4回実施し、その過程でオペレーションの仕組みに関する重要な詳細を把握した。
Microsoftによると、フィッシングのオペレーションを担うために、Telegramのチャネルに少なくとも850人のメンバーが所属しており、これまでに暗号資産による支払いで10万ドル以上を受け取っていた。同社が裁判所に提出した文書によると、オペレーションの首謀者とされるのはナイジェリア在住のジョセフ・オグンディペ氏という人物で、プログラミングの経歴を持っていたようだ。
Microsoftは「国際的な法執行機関に刑事告発した」と述べた。連邦捜査局(FBI)の広報担当者はコメントの要請にすぐには応じなかった。
Microsoftによると、Raccoon0365は特に米国の医療機関に深刻な被害を与えたようだ。フィッシングキットを使うことで、攻撃者は少なくとも米国の20の病院に侵入した。多くの場合、ソーシャルエンジニアリングの手法を用いてランサムウェア攻撃やその他の悪意あるコードの展開につなげたという。
医療業界への影響があまりに深刻だったため、Health-ISAC(医療情報共有分析センター)は、MicrosoftがRaccoon0365のWebドメインを差し押さえるために提起した訴訟を支持して、共同で参加した。ISACは、Raccoon0365が医療機関に及ぼす脅威を軽減する目的で訴訟に加わったと説明した。
出典:Microsoft disrupts global phishing campaign that led to widespread credential theft(Cybersecurity Dive)
注1:Microsoft seizes 338 websites to disrupt rapidly growing ‘RaccoonO365’ phishing service(Microsoft)
注2:Cloudflare participates in global operation to disrupt RaccoonO365(Cloudforce One)
注3:Threat actors leverage tax season to deploy tax-themed phishing campaigns(Microsoft)
注4:COMPLAINT(United States District Court for the Southern District of New York)
関連記事
多要素認証すら無意味に GoogleもMicrosoftも無力な新型フィッシングの正体
OktaはGoogleやMicrosoftの多要素認証を回避する新たなフィッシング攻撃基盤を確認したと発表した。同基盤の攻撃手法やユーザー側の対策を整理する。
「Microsoft 365」を乗っ取る“闇キット”が大人気 被害者にならないためには?
Microsoft 365の多要素認証を回避し、ビジネスアカウントを侵害する自動ツールがダークWebで大量に販売されていた。どうやって防げばよいのだろうか。
いまさら「フィッシング」? その緩みを突く危険な攻撃
フィッシング攻撃は広く利用されており、もはや珍しくない。だが、被害に遭ってしまうと損失は大きい。なぜフィッシング攻撃がなくならないのか。また、どうすれば対策できるのだろうか。
© Industry Dive. All rights reserved.
製品カタログや技術資料、導入事例など、IT導入の課題解決に役立つ資料を簡単に入手できます。
- こんなに簡単に? 生成AIに詐欺メールを作らせる“AIガード突破法”とは:849th Lap
- サイバー犯罪者がM365用のフィッシングサービスを販売 大量の認証情報が盗まれた
- 日本IBMはどこでミスを犯したのか? NHKシステム再構築“失敗 ”から学ぶ
- データ基盤しくじり先生 テストで“見たことない額”を吹き飛ばした「うん百万の男」の話
- NotebookLMで議事録作成を95%削減、秋田、札幌市の「Google Workspace」活用の秘訣
- 世界を騒がせた「Azure」障害、Microsoftは沈黙も、ただの障害ではなかった?:847th Lap
- ChatGPT Proは3万円の価値があるのか? PlusとProを実務目線で比較検証してみた
- Microsoftが隠そうとした、Copilotの“不審な挙動”とは?:848th Lap
- 自治体、大規模組織で「Google Workspace」導入が難航する3つの理由と対策
- 自動車タイヤメーカーにサイバー攻撃 自動車産業が相次ぎ狙われる
アイティメディアからのお知らせ
ITmediaはアイティメディア株式会社の登録商標です。