PhaaSでフィッシング攻撃が主流になるほど犯罪者は自前ではなくサービスを利用



Barracudaのリサーチャーによると、2025年1月から2月の間に、Phishing-as-a-Service(以下、PhaaS)プラットフォームによるフィッシング攻撃が急増しました。

Phishing and Malicious Emails

Barracudaのリサーチャーによると、2025年1月から2月の間に、Phishing-as-a-Service(以下、PhaaS)プラットフォームによるフィッシング攻撃が急増しました。

PhaaSは、犯罪者が高度なフィッシング攻撃を簡単に展開できるキットを提供するもので、2025年1月と2月の間に、100万件を超える攻撃に利用されました。このうちのほとんどは3つのPhaaSプラットフォームによるもので、なかでもTycoon 2FAキットが市場を支配しています。

Barracudaは次のように説明しています。「Tycoon 2FAは、2025年初頭に活動していたPhaaSプラットフォームの中で最も洗練され、名のしれたものでした。2025年1月に確認されたPhaaS関連のインシデントのうち、89%がこのツールによるものでした。次いで、EvilProxyが8%、新たに登場したSneaky 2FAが3%のシェアを占めていました。」

Sneaky 2FAは、今年初めに登場した新しいフィッシングプラットフォームです。このツールはMicrosoft 365アカウントを標的とし、多要素認証を回避することができます。

Barracuda社は次のように述べています。「標的となるユーザーにはリンクが含まれたメールが送られます。ユーザーがそのリンクをクリックすると、偽装された悪意あるMicrosoftのログインページにリダイレクトされます。攻撃者は、相手が本物のユーザーであり、セキュリティツールではないことを確認したうえで、Microsoft 365の’autograb’機能を悪用して、被害者のメールアドレスをフィッシングページにあらかじめ入力します。」

この攻撃ツールキットは、Sneaky Logというサイバー犯罪組織によってサービスとして販売されています。Sneaky 2FAと呼ばれているのは、このツールが二要素認証を回避できることに由来します。Sneaky 2FAはメッセージングサービスのTelegramを利用し、ボットとして動作します。

Barracuda社は次のように指摘しています。「従業員が最新の脅威の兆候や行動パターンを理解できるようにするには、セキュリティ意識向上トレーニングが重要です。従業員には、MicrosoftやGoogleのログインページで不審な点があればすぐに報告するよう促してください。発見した場合は、詳細なログ分析を実施し、多要素認証に関する異常がないかを確認してください。」

KnowBe4のセキュリティ意識向上トレーニングは、従業員のセキュリティ意識を高め、日々求められるセキュリティ上の判断に従業員一人ひとりが的確な意志決定を下すことを可能にします。世界の7万社を超える企業や団体がKnowBe4を採用して、防御の最終ラインとして「人」による防御壁を構築して、セキュリティ文化の形成につなげています。

詳細については、Barracudaの記事を参照してください。

原典:Stu Sjouwerman著 2025年3月24日発信 https://blog.knowbe4.com/act-now-phishing-as-a-service-attacks-are-on-the-rise

Topics: フィッシング, KnowBe4 SATブログ, セキュリティ文化

Get the latest about social engineering

Subscribe to CyberheistNews