企業のお問い合わせフォームが狙われる新手のサイバー攻撃
現役のフォレンジックアナリストとして、日々さまざまなサイバー攻撃の調査を行っていますが、今回ご紹介する「ZipLine」キャンペーンは特に巧妙で恐ろしい手口です。
この攻撃の特徴は、従来のような怪しいメールを送りつけるのではなく、企業の公式サイトにある「お問い合わせフォーム」を正規の窓口として悪用する点です。チェック・ポイント・リサーチ(CPR)が追跡したこのキャンペーンは、米国のサプライチェーンを支える製造業を標的に、数週間かけて信頼関係を築いてから攻撃を仕掛ける極めて高度な手法を用いています。
なぜお問い合わせフォームが狙われるのか
従来のサイバー攻撃といえば、明らかに怪しいメールを大量送信するスパム型が主流でした。しかし、セキュリティ意識の向上により、多くの企業や個人がこうした明らかな攻撃メールを見抜けるようになっています。
そこで攻撃者が目をつけたのが、企業が自ら設置している「お問い合わせフォーム」です。このルートを使うことで:
- 企業側から積極的に連絡を取ってくる
- 正規の業務メールとして扱われる
- スパムフィルターを回避できる
- 受信者の警戒心が低くなる
これらのメリットを悪用し、攻撃者は長期間にわたって信頼関係を構築していくのです。
ZipLineキャンペーンの攻撃手順
第1段階:初期接触
攻撃は企業の公式サイトのお問い合わせフォームから始まります。攻撃者は実在しそうなビジネス案件として接触し、企業側が自然に返信するよう仕向けます。
CPRの調査によると、観測されたすべてのケースで、最初の接触は標的企業のWebフォームから行われていました。企業側は通常の業務として受付メールを返信し、日程調整や窓口確認などの一般的なやり取りが始まります。
第2段階:信頼関係の構築
ここからが攻撃者の巧妙な部分です。1~2週間にわたって、まったく怪しさのないビジネスライクな会話を継続します。
具体的には:
- NDAの取り交わしの相談
- 「AI導入の影響評価」に関する議論
- 組織変革に関するコンサルティング提案
これらのテーマは現在多くの企業が関心を持っている内容で、受信者も自然に応じてしまいます。
第3段階:悪性ファイルの送付
十分に信頼関係が築かれた段階で、攻撃者は本格的な攻撃を開始します。Herokuのサブドメインを利用してZIPアーカイブのリンクを送付し、「AI導入に関するアンケート」などの名目で受信者にダウンロードを促します。
この手法が巧妙なのは:
- 正規のPaaS基盤(Heroku)を経由することで信頼性を演出
- システム側のレピュテーションフィルターを回避
- 受信者の警戒心を下げる
技術的な攻撃手法の詳細
ZIPファイルの中身
送付されるZIPファイルには、一見正常なPDFやDOCX形式の「NDA」などの文書が含まれています。しかし同時に、悪性のショートカットファイル(.lnk)が仕込まれています。
このショートカットファイルがPowerShellを起動し、以下の手順で攻撃を展開します:
- デスクトップ、ダウンロード、ProgramDataなど複数箇所からZIPファイルを探索
- ZIP内の特定マーカー文字列「xFIQCV」以降に隠されたPowerShellスクリプトを抽出
- メモリ上でスクリプトを実行
- 表向きはDOCXを開いてユーザーに違和感を与えない
検出回避技術
この攻撃では、セキュリティ製品による検出を回避するための高度な技術が使用されています:
- AMSIの初期化フラグを細工してスキャンを無効化
- 完全なメモリ内実行でディスク痕跡を最小化
- .NETリフレクションと動的デリゲートを活用
- VirtualAllocで確保したメモリに復号済みシェルコードを展開
永続化メカニズム
攻撃者は一度侵入に成功すると、システムの再起動後も攻撃を継続できるよう永続化を図ります。
COMのタイプライブラリハイジャックという技術を使用し、CLSID {EAB22AC0-30C1-11CF-A7EB-0000C05BAE0B}(Microsoft Web Browser系)をローカルファイルに向け替えます。これにより、Internet ExplorerやExplorer.exe自体の通常動作で自動的にペイロードが実行される仕組みを構築しています。
被害の実態と対象企業
標的となる業界
CPRの調査によると、被害候補は数十社規模に上り、主に以下の業界が狙われています:
- 機械製造業
- 金属加工業
- 部品製造業
- 産業装置メーカー
- 半導体関連企業
- コンシューマー製品メーカー
- バイオ・製薬企業
これらの業界は米国のサプライチェーンを支える重要な役割を担っており、攻撃者が戦略的にターゲットを選定していることがわかります。
企業規模による攻撃手法の使い分け
興味深いのは、攻撃者が企業規模に応じて戦術を使い分けている点です:
- 大企業:時間をかけても確実に侵入を図る
- 中小企業:セキュリティ対策の薄さを狙って効率的に攻撃
これは攻撃者が非常に計算高く、リソースを効率的に配分していることを示しています。
フォレンジック調査で見えた攻撃インフラ
偽装ドメインの実態
攻撃に使用されるドメインの多くは、米国内で登記されたLLC名と一致するものが使われています。中には過去に実在企業が使用していたと思われる名称も含まれており、非常に巧妙に正当性を装っています。
しかし、Webサイトの内容を詳しく調査すると、テンプレートを使い回した粗雑な作りになっており、「創業者の写真」としてホワイトハウスの執事のストック写真がそのまま使われているケースも発見されています。
C&Cサーバーの構成
コマンド&コントロール(C2)サーバーとしては、以下のような構成が確認されています:
- tollcrm[.]com を起点とした複数のCRM風ドメイン
- 同一ネームサーバーや同一IPアドレス(例:172.210.58[.]69)での運用
- DNSトンネリング用の回答を返す仕組み
サーバー上には未使用と思われる管理パネルや空の被害者データベースなどが発見されており、攻撃者の運用規模の大きさがうかがえます。
実際のフォレンジック事例から学ぶ
私が過去に調査した類似事例では、中小製造業A社がまさにこの手法で被害に遭いました。
A社の被害事例
A社(従業員50名の精密機械部品メーカー)では、営業担当者がお問い合わせフォーム経由で「新規取引先からの引き合い」を受けました。
- 相手は米国の商社を名乗り、日本製の高精度部品の調達を希望
- 2週間にわたって見積もりや技術仕様の詳細な打ち合わせ
- NDAの締結提案と「技術評価資料」のZIPファイル送付
- 営業担当者がZIPファイルを開いてマルウェアに感染
結果として:
- 顧客データベースから3,000件の企業情報が漏洩
- 設計図面データ50GB以上が窃取
- システム復旧に2週間、総被害額は約500万円
このケースでは、営業担当者が「正規の商談」として認識していたため、IT部門のチェックを受けずにファイルを開いてしまいました。
効果的な対策方法
技術的対策
エンドポイント保護の強化
個人や中小企業でも導入できるアンチウイルスソフト
の活用が重要です。特に以下の機能を持つ製品を選択してください:
- リアルタイムでの挙動監視
- メモリ内攻撃の検出機能
- 未知のマルウェア検出機能
- PowerShellスクリプトの実行監視
ネットワーク保護
VPN
を活用することで、C&Cサーバーとの通信を遮断できます。特に以下の機能が有効です:
- DNSトンネリングの検出・遮断
- 怪しいドメインへのアクセス制御
- 地理的制限(必要に応じて)
運用面での対策
お問い合わせフォーム経由の案件管理
- 初回接触から一定期間内のファイル送付は原則禁止
- 外部からのファイル受信時は必ずIT部門での事前チェック
- NDAや契約書は自社の法務部門で内容確認
- 相手企業の実在性を複数の手段で確認
従業員教育の徹底
- お問い合わせフォーム経由でも攻撃があることの周知
- 「正規のビジネス案件」を装った攻撃手法の理解
- ファイルを開く前の確認手順の徹底
- 疑わしい案件の報告体制整備
企業向け専門対策
企業においては、Webサイト脆弱性診断サービス
の定期的な実施が重要です。特にお問い合わせフォーム周りのセキュリティ診断を行い、以下の点を確認してください:
- 入力値検証の適切性
- レート制限の設定
- ログ監視体制
- 異常なアクセスパターンの検出
まとめ:新時代のサイバー攻撃に備えて
ZipLineキャンペーンは、従来のサイバー攻撃の概念を覆す巧妙な手法です。お問い合わせフォームという正規のビジネス窓口を悪用し、長期間かけて信頼関係を築いてから攻撃を仕掛ける手法は、今後さらに増加することが予想されます。
重要なのは、「正規のルートからの連絡だから安全」という固定観念を捨て、どのような経路であっても適切なセキュリティチェックを行うことです。
特に製造業や中小企業の皆様は、サプライチェーンの一翼を担う重要な存在として狙われやすい立場にあります。アンチウイルスソフト
やVPN
などの基本的なセキュリティツールの導入と合わせて、従業員のセキュリティ意識向上に取り組んでください。
また、企業のWeb担当者の方は、Webサイト脆弱性診断サービス
を活用して、自社のWebサイトやお問い合わせフォームが攻撃の入り口とならないよう、定期的な点検を行うことをお勧めします。
サイバー攻撃は日々進化していますが、適切な対策と意識を持つことで、被害を最小限に抑えることは可能です。この記事が皆様の セキュリティ対策の一助となれば幸いです。
