サイバー犯罪者がM365用のフィッシングサービスを販売 大量の認証情報が盗まれた

より効率良くフィッシング攻撃を実行できるPhaaSが販売された結果、Microsoft 365の大量の認証情報が盗まれた。Microsoftは問題を放置せず、先頭に立って対策を実行した。

[David Jones，Cybersecurity Dive]

　フィッシング攻撃は「数を打てば当たる」タイプのサイバー攻撃だ。そのため、いかに効率良く攻撃を実行できるかが鍵になる。

　このような悪のニーズに応えるサービスがPhaaS（Phishing as a Service）だ。サイバー犯罪者は料金を支払うだけで自在にフィッシング攻撃を仕掛けられる。

サイバー犯罪者がM365用のフィッシングサービスを販売　大量の認証情報が盗まれた

　あまりにも被害が大きくなったため、Microsoftが他社と協力してPhaaSを止めようと動いた。

　Microsoftは「Raccoon0365」と呼ばれるPhaaSが2024年7月以降に使われ始め、94カ国の「Microsoft 365」の利用者から約5000件の認証情報が盗まれたと推定した（注1）。

　このPhaaSは「Microsoft 365」のアカウント名やパスワードを盗むサブスクリプション型のサービスであり、技術力の低いサイバー犯罪者向けに販売されていた。

　セキュリティサービスを提供するCloudflareによると（注2）、Raccoon0365は「Telegram」のあるチャネルで30〜90日利用できるサブスクリプション型のフィッシングキットを販売していた。Cloudflareはサービスを妨害する作戦でMicrosoftと協力した。

　サイバー犯罪者たちはRaccoon0365を利用し、米国の幅広い業種にわたる2300以上の組織を標的にしていた。Microsoftによると、認証情報の窃取や税務申告のシーズンにおけるマルウェアの設置を狙った攻撃が多かった（注3）。

法的措置でPhaaSを停止

　2025年9月16日（現地時間、以下同）、MicrosoftはこのPhaaSが世界中の医療機関を標的とした攻撃を支えており、破壊作戦を展開した結果、成功したと発表した。

　Microsoftはニューヨーク南部地区連邦裁判所の判事から許可を得て（注4）、Raccoon0365が使用していた338のWebドメインに対する差し押さえを実行した。

　Microsoftは裁判所に対して、従業員がRaccoon0365からフィッシングキットを購入するテストを4回実施し、その過程でオペレーションの仕組みに関する重要な詳細を把握した。

　Microsoftによると、フィッシングのオペレーションを担うために、Telegramのチャネルに少なくとも850人のメンバーが所属しており、これまでに暗号資産による支払いで10万ドル以上を受け取っていた。同社が裁判所に提出した文書によると、オペレーションの首謀者とされるのはナイジェリア在住のジョセフ・オグンディペ氏という人物で、プログラミングの経歴を持っていたようだ。

　Microsoftは「国際的な法執行機関に刑事告発した」と述べた。連邦捜査局（FBI）の広報担当者はコメントの要請にすぐには応じなかった。

　Microsoftによると、Raccoon0365は特に米国の医療機関に深刻な被害を与えたようだ。フィッシングキットを使うことで、攻撃者は少なくとも米国の20の病院に侵入した。多くの場合、ソーシャルエンジニアリングの手法を用いてランサムウェア攻撃やその他の悪意あるコードの展開につなげたという。

　医療業界への影響があまりに深刻だったため、Health-ISAC（医療情報共有分析センター）は、MicrosoftがRaccoon0365のWebドメインを差し押さえるために提起した訴訟を支持して、共同で参加した。ISACは、Raccoon0365が医療機関に及ぼす脅威を軽減する目的で訴訟に加わったと説明した。

出典：Microsoft disrupts global phishing campaign that led to widespread credential theft（Cybersecurity Dive）
注1：Microsoft seizes 338 websites to disrupt rapidly growing ‘RaccoonO365’ phishing service（Microsoft）
注2：Cloudflare participates in global operation to disrupt RaccoonO365（Cloudforce One）
注3：Threat actors leverage tax season to deploy tax-themed phishing campaigns（Microsoft）
注4：COMPLAINT（United States District Court for the Southern District of New York）