最近のサイバー脅威の中でも特に注目すべきが、中国系脅威アクター「UTA0388」による「信頼関係構築型フィッシング(rapport-building phishing)」攻撃です。この攻撃手法は従来のフィッシングとは大きく異なり、攻撃者が標的人物と長期間にわたって無害なコミュニケーションを重ね、信頼関係を築いてからフィッシングリンクを送信するという、極めて巧妙で高度な手法です。
UTA0388による信頼関係構築型フィッシング攻撃の実態
Volexityの研究チームが2025年6月から8月にかけて観測したこの攻撃では、北米、アジア、ヨーロッパの企業とその顧客が標的となりました。攻撃の特徴を詳しく見てみましょう。
攻撃の進化過程
初期段階(6月頃):
- 標的ごとに最適化した文面を使用
- 正当な企業・組織の上級研究員やアナリストからの連絡を装う
- 単発的なフィッシングメール
発展段階(7-8月頃):
- 多言語対応(様々な言語でメールを作成)
- 信頼関係構築型フィッシングの導入
- 長期間にわたる段階的なアプローチ
技術的な攻撃手法
すべての攻撃事例において、以下の共通した技術的特徴が確認されています:
- ZIP/RARアーカイブの配布:メールにはアーカイブファイルへのリンクが含まれる
- サーチオーダーハイジャッキング:正規の実行ファイルを実行すると、悪意のあるDLLが読み込まれる仕組み
- GOVERSHELLバックドアの展開:感染デバイス上でのリモートコマンド実行を可能にする
- 隠しファイルの存在:ZIP/RARアーカイブ内に奇妙な隠しファイルが存在
WhatsAppを悪用したSORVEPOTELマルウェアの脅威
一方、ブラジルでは脅威アクター「Water Saci」によるWhatsAppを悪用した攻撃が確認されています。この攻撃は特にブラジルの銀行システムを狙った金融犯罪として注目されています。
攻撃の流れ
- WhatsAppメッセージの送信:受信者にデスクトップでメッセージを開くよう促す
- ZIPファイルの配布:解凍するとLNKファイルが現れる
- マルウェアのダウンロード:コマンドラインまたはPowerShellスクリプトが実行される
- 感染チェーンの開始:Maverick.StageTwoスパイウェアとダウンローダーDLLを配布
- 自己増殖:SORVEPOTELがWhatsAppを乗っ取り、さらなる感染拡大を図る
SideWinder APTによるOperation SouthNet
さらに、SideWinder APTによる「Operation SouthNet」と名付けられたキャンペーンでは、パキスタンやスリランカの政府機関・軍事機関が標的となっています。
この攻撃では、NetlifyやPages.devなどの無料ホスティングサービスを悪用し、OutlookやZimbraの偽ポータルを50件以上設置。海事や港湾をテーマにしたルアー文書を武器化して配布しています。
現役CSIRTが見る企業への影響と被害例
私たちCSIRTチームが実際に対応した事例を基に、このような高度な攻撃が企業に与える影響を説明します。
実際の被害事例
ケース1:中小製造業A社の場合
営業部長が海外取引先を装った「信頼関係構築型フィッシング」により、3週間にわたる段階的なアプローチを受けた後、最終的にマルウェアに感染。内部ネットワークに侵入され、顧客データベースと設計図面が窃取される事態に発展しました。復旧に要した期間は2ヶ月、損失額は約1,200万円に達しました。
ケース2:IT企業B社の場合
WhatsApp経由でのマルウェア感染により、社内のSlackアカウントが乗っ取られ、従業員を装った詐欺メールが顧客企業に大量送信される事態が発生。信用失墜により既存契約の20%を失う結果となりました。
企業が実装すべき多層防御戦略
このような高度化するサイバー攻撃に対して、企業は以下のような多層防御戦略を構築する必要があります。
1. エンドポイントセキュリティの強化
従来のパターンマッチング型アンチウイルスソフト
では検知困難な未知のマルウェアに対しても、振る舞い検知機能を持つ次世代アンチウイルスソフト
が有効です。特にGOVERSHELLのようなバックドア型マルウェアは、感染初期の段階で検知・隔離することが重要です。
2. ネットワークレベルでの監視強化
企業ネットワークから外部への不審な通信を監視し、C&Cサーバーとの通信を遮断する仕組みが必要です。また、VPN
を導入することで、従業員のインターネット通信を暗号化し、中間者攻撃やネットワーク盗聴から保護できます。
3. メール・メッセージングセキュリティ
信頼関係構築型フィッシングに対しては、従来のスパムフィルターでは不十分です。AIを活用したメールセキュリティソリューションにより、文脈や送信者の行動パターンを分析し、段階的なアプローチを検知する必要があります。
4. Webアプリケーションの脆弱性対策
企業のWebサイトが攻撃の踏み台として悪用されることを防ぐため、定期的なWebサイト脆弱性診断サービス
の実施が重要です。特にSideWinder APTのように正規のホスティングサービスを悪用する攻撃では、自社サイトの信頼性維持が不可欠です。
従業員教育とインシデント対応の重要性
技術的対策と併せて、従業員に対する継続的なセキュリティ教育も欠かせません。特に以下の点について周知徹底を図る必要があります:
- 段階的アプローチの認識:短期間で信頼関係を築こうとする連絡に対する警戒心
- 添付ファイル・リンクの慎重な扱い:特にZIP/RARファイルに対する注意
- WhatsAppなどのメッセージングアプリ経由の業務連絡への警戒
- 不審な連絡の報告体制:IT部門やセキュリティ担当者への迅速な報告
まとめ:継続的な脅威監視の必要性
UTA0388、Water Saci、SideWinder APTなどの事例が示すように、現代のサイバー攻撃は高度化・巧妙化の一途をたどっています。特に「信頼関係構築型フィッシング」のような手法は、従来のセキュリティ対策では検知が困難であり、企業には新たな対応戦略が求められています。
重要なのは、技術的対策、従業員教育、インシデント対応体制を統合した包括的なセキュリティ戦略の構築です。また、脅威インテリジェンスの活用により、新たな攻撃手法や脅威アクターの動向を継続的に監視し、対策をアップデートしていくことが不可欠です。
企業の規模に関わらず、サイバーセキュリティは経営課題として捉え、適切な投資と継続的な改善を行っていく必要があります。今回紹介した対策を参考に、自社のセキュリティ体制の見直しを検討してみてください。
