フォレンジックアナリストとして日々様々なサイバー攻撃事案を分析していますが、2025年8月に入ってから特に注目すべき攻撃トレンドが確認されています。英国のビザスポンサー組織を狙った巧妙なフィッシング攻撃から、イタリア語圏を標的としたマルスパムキャンペーン、そしてSEOポイズニングを悪用した大規模な情報窃取まで、攻撃者の手口は日々巧妙化しています。
英国ビザスポンサー組織を標的とした組織的フィッシング攻撃
Mimecastの研究チームが発見した攻撃は、その巧妙さに正直驚かされました。攻撃者は英国内務省を装い、スポンサーライセンスを持つ組織に対して「ライセンス一時停止」や「緊急コンプライアンス対応」を求める偽メールを送信しています。
攻撃手法の詳細分析
この攻撃で特に注目すべきは、CAPTCHAで保護されたページを経由させることで、セキュリティ意識の高いユーザーにも「公式サイトだ」と誤認させる手口です。実際の被害事例を見ると、以下のような流れで被害が発生しています:
- 内務省を装った緊急性の高いメールが届く
- CAPTCHA認証により「公式サイト」と信じ込む
- SMS(スポンサーシップ管理システム)の偽ページでログイン
- 認証情報が盗まれ、ダークウェブで販売または移民詐欺に悪用される
私がCSIRTで対応した類似事案では、中小企業のビザスポンサー担当者が騙され、社内の外国人従業員情報が漏洩したケースもありました。企業の人事担当者は特に狙われやすい立場にあると言えるでしょう。
イタリア語圏を標的としたマルスパムキャンペーンの実態
ShadowOpCodeが確認したマルスパムキャンペーンは、TA558というサイバー犯罪グループに関連している可能性が高いと分析されています。この攻撃では請求書を装ったメールにXLSファイルを添付し、CVE-2017-11882という古い脆弱性を悪用しています。
ステガノグラフィを悪用した高度な隠蔽技術
特に注目すべきは、JPG画像にBMPファイルを埋め込むステガノグラフィ技術です。これにより、通常のセキュリティソフトではマルウェアの検出が困難になります。最終的にRemcosやPureLogsといった情報窃取型マルウェアが実行され、以下の情報が盗まれる可能性があります:
- ブラウザに保存されたパスワード
- オンラインバンキングの認証情報
- 仮想通貨ウォレットのデータ
- 企業の機密ファイル
SEOポイズニングによる大規模な情報窃取ネットワーク
CloudSEKが発見したパキスタンを拠点とする攻撃ネットワークは、その規模に驚かされます。5,239組のアフィリエイト、3,883のサイト、4億4,900万回のクリック、188万回のマルウェアインストールという数字は、個人レベルでは想像がつかない規模です。
クラック版ソフトウェアを餌にした巧妙な罠
この攻撃の特徴は、需要の高いクラック版ソフトウェア(Adobe Creative Suite、Microsoft Officeなど)に関する投稿でユーザーを誘導することです。パスワード保護されたアーカイブという「信頼性」を演出し、以下のマルウェアを配信します:
- Lumma Stealer:ブラウザ情報やクリプト通貨の窃取
- Meta Stealer:包括的な個人情報の収集
- Atomic macOS Stealer:Mac環境での情報窃取
実際に私が分析した事例では、「無料のPhotoshop」を求めてダウンロードした個人事業主が、クライアント情報や銀行口座データを全て盗まれたケースがありました。クラック版ソフトウェアの利用は、技術的リスクだけでなく法的リスクも伴うため絶対に避けるべきです。
PS1Botによるモジュール型攻撃の脅威
Cisco Talosが確認したPS1Botは、PowerShellとC#で実装されたモジュール型マルウェアです。マルバタイジング(悪意のある広告)を通じて拡散され、メモリ内で実行されるため検出が非常に困難です。
進化する多段階攻撃手法
PS1Botの攻撃手順は以下の通りです:
- 悪意のある広告経由でJavaScriptファイルをダウンロード
- C2サーバーとの通信を確立するPowerShellスクリプトを作成
- キーロギング、情報窃取、偵察モジュールを順次実行
- 認証情報、セッショントークン、金融データを窃取
この手法で特に危険なのは、正規の広告ネットワークを経由して拡散される点です。信頼できるWebサイトを閲覧していても感染する可能性があるため、アンチウイルスソフト
の導入は必須と言えるでしょう。
個人・企業が取るべき具体的な対策
個人向け対策
フォレンジック調査の経験から、以下の対策が最も効果的です:
- メールの送信者を必ず確認:政府機関を装ったメールは特に慎重に
- リンクをクリックする前にURL確認:公式サイトのURLと比較する
- クラック版ソフトウェアは絶対に使用しない:正規版の利用を推奨
- 定期的なパスワード変更:特に金融機関のアカウント
- 多要素認証の有効化:可能な限り全アカウントで設定
また、個人情報保護の観点からVPN
の利用も推奨します。特に公共Wi-Fiを使用する際は、通信内容を暗号化することで情報漏洩リスクを大幅に軽減できます。
企業向け対策
企業においては、より包括的なセキュリティ対策が必要です:
- 従業員向けセキュリティ教育の定期実施:フィッシングメールの見分け方
- メールセキュリティゲートウェイの導入:添付ファイルの自動スキャン
- Webサイトのセキュリティ診断:定期的な脆弱性チェック
- インシデント対応計画の策定:被害発生時の迅速な対応
- ログ監視システムの構築:不審な活動の早期発見
特に、外部からの攻撃だけでなく、自社Webサイトが攻撃の踏み台にされることも多いため、Webサイト脆弱性診断サービス
を活用した定期的なセキュリティチェックは欠かせません。
被害に遭った場合の初動対応
万が一、サイバー攻撃の被害に遭った場合、以下の手順で初動対応を行ってください:
- 被害端末の即座に隔離:ネットワークから切断
- パスワードの緊急変更:全アカウントのパスワード変更
- 金融機関への連絡:不正利用の可能性を報告
- 証拠の保全:ログファイルやメール等を削除しない
- 関係機関への報告:警察やIPAへの相談
フォレンジック調査では、初動対応の適切さが被害拡大の防止と証拠保全の成功を左右します。特に企業の場合は、専門機関への速やかな相談を強く推奨します。
まとめ:多層防御でサイバー攻撃に備える
2025年8月時点で確認されている攻撃手法を見ると、従来の単発的な攻撃から、より組織的で持続的な攻撃へとシフトしていることが明らかです。英国のビザ詐欺からイタリア語圏のマルスパム、大規模なSEOポイズニングネットワークまで、攻撃者は様々な手法を組み合わせて収益を最大化しようとしています。
個人・企業を問わず、単一の対策だけでなく多層防御の考え方が重要です。技術的対策、教育的対策、そして組織的対策を組み合わせることで、サイバー攻撃のリスクを最小限に抑えることができます。
特に中小企業においては、限られたリソースの中で効果的な対策を講じる必要があります。まずは基本的なアンチウイルスソフト
とVPN
から始め、段階的にセキュリティレベルを向上させていくアプローチが現実的でしょう。
サイバー攻撃は「自分は大丈夫」という思い込みが最も危険です。日々進化する脅威に対して、常に警戒心を持ち続けることが何より重要だと、フォレンジックアナリストとして強くお伝えしたいと思います。
