GMOあおぞらネット銀行を狙うBasic認証フィッシング攻撃の手口と対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

GMOあおぞらネット銀行を装う巧妙なフィッシング攻撃が急増

GMOあおぞらネット銀行を装う巧妙なフィッシング攻撃が急増

2025年10月15日、セキュリティ企業Netcraftから衝撃的な報告が発表されました。GMOあおぞらネット銀行を装った新手のフィッシング攻撃が継続的に展開されており、その巧妙さは従来の手口を大きく上回っています。

この攻撃の特徴は、古くからあるBasic認証のURL構造を悪用している点です。一見すると正規のGMOあおぞらネット銀行のURLに見えるものの、実際には全く異なるサイトに誘導される仕組みになっています。

Basic認証を悪用した巧妙な手口

攻撃者が使用する手法は「https://ユーザー名:パスワード@実際に接続されるドメイン」という、Basic認証のURL構造を利用したものです。具体的には以下のような構造になっています：

「@」より前：gmo-aozora.com（正規銀行名を装う偽装部分）
「@」より後：攻撃者が管理する悪意のあるドメイン

ブラウザは「@」以前の部分を認証情報として処理し、実際の接続先は「@」以降のドメインになります。この仕組みにより、URLの見た目と実際の遷移先が食い違い、利用者を騙すことが可能になります。

私がフォレンジック調査を行った事例でも、このような手法により個人情報を盗まれたケースが複数確認されています。特に中小企業の経理担当者が、急ぎの支払い処理中にこの手の攻撃に遭遇し、数百万円の被害を受けた事例もありました。

bgt?aid=250920794415&wid=001&eno=01&mid=s00000007238007011000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

攻撃の規模と標的

Netcraftの調査によると、直近14日間で少なくとも214件のBasic認証型フィッシングURLが確認されています。そのうち約71.5%（153件）が日本の利用者や組織を狙ったものでした。

攻撃対象となったブランドは多岐にわたり、以下のような企業が標的となっています：

Amazon
Google
Yahoo
LinkedIn
Facebook
Netflix
DHL
FedEx
Bank of America
SoftBank

視覚的な信頼誘導の巧妙さ

攻撃者は単純にURLを偽装するだけでなく、以下のような手法で利用者の信頼を獲得しようとします：

1. 日本語CAPTCHA画面の表示

遷移先では「私はロボットではありません」風のCAPTCHA画面を表示し、正当性を演出しています。

2. トークン風文字列の混入

ユーザー名欄にエンコード値のような文字列を混ぜ、セッション識別子や暗号化トークンに見せかけています。

3. UI特性の悪用

メールクライアントやモバイルブラウザでは、URLが途中までしか表示されないことが多く、先頭部分が強調表示されるため、視覚的な成りすましが成功しやすくなっています。

実際の攻撃URL例

以下に実際に確認された攻撃URLの例を示します（セキュリティ上、一部を「hxxps」と表記）：

hxxps://gmo-aozora.com%25ZYJ55BOB%25hk0zv7mn%25MnbVh5Tir@coylums.com/sKgdiq/ hxxps://gmo-aozora.com%25K91E3AB%251baa0wz%25Mb5iqFg@coylums.com/sKgdiq hxxps://gmo-aozora.com%25938C4G%250rwi9tv0x%25xPcHpq0@blitzfest.com/sKgdiq

これらのURLを見ると、全て同じパス「/sKgdiq」を使用しており、攻撃者が同一の仕組みを複数のドメインで再利用していることが分かります。

個人・企業が取るべき対策

1. URL確認の習慣化

メールやメッセージで受信したURLは、クリック前に必ず「@」マークの有無を確認しましょう。「@」が含まれている場合は、それ以降が実際の接続先となります。

2. 公式サイトからのアクセス

銀行などの重要なサービスには、メール内のリンクからではなく、必ずブックマークや検索エンジンから公式サイトにアクセスしてください。

3. セキュリティソフトの活用

アンチウイルスソフトを導入することで、フィッシングサイトへのアクセスを事前にブロックできます。特に最新の脅威情報を自動更新するタイプのソフトウェアが効果的です。

4. VPNの活用

VPN を使用することで、通信の暗号化とIPアドレスの匿名化が可能になり、攻撃者による追跡を困難にできます。

5. 企業向け対策

中小企業の場合、Webサイト脆弱性診断サービスを定期的に実施することで、自社のWebサイトがフィッシング攻撃の踏み台に利用されていないかを確認できます。

CSIRTからの緊急提言

現役CSIRTメンバーとして、この攻撃の危険性を強く警告します。Basic認証を悪用したフィッシング攻撃は、従来のURLフィルタリングでは検知が困難な場合があります。

特に中小企業では、経理部門や総務部門の担当者が標的となりやすく、一度の攻撃で企業の資金に直接的な被害が及ぶ可能性があります。私が調査した事例では、従業員が偽の銀行サイトでログイン情報を入力した結果、翌日には企業口座から不正送金が行われていました。

まとめ

GMOあおぞらネット銀行を装うBasic認証フィッシング攻撃は、古典的な手法を現代的にアレンジした巧妙な攻撃です。視覚的な錯覚を利用し、利用者の注意力を欺く手法は今後も進化していくと予想されます。

個人・企業を問わず、URLの構造を理解し、適切なセキュリティ対策を講じることが重要です。特に金融機関を装った攻撃には最大限の注意を払い、疑わしいメールやメッセージには決して反応しないよう心がけてください。

一次情報または関連リンク

GMOあおぞらネット銀行を装うフィッシングキャンペーンに関する報告

bgt?aid=250609106858&wid=001&eno=01&mid=s00000018459001011000&mc=1