KnowBe4 Threat Labは、現在進行中のCapital Oneを装ったフィッシングキャンペーンを確認しました。
攻撃者は、セキュアメールゲートウェイ(SEG)や標準のセキュリティ機能によるレピュテーションベースの検出を回避するため、侵害されたメールアカウントを使って攻撃メールを送信しています。
攻撃メールには、偽装のHTMLテンプレートやブランディングが施されており、受信者に正規サービスからの連絡であると信じ込ませます。
被害者が騙されてリンクをクリックすると、認証情報を抜き取るためのフィッシングサイトに誘導されます。このキャンペーンはインフラの規模が大きく、複数のドメインを使って攻撃を展開しており、シグネチャベースの検出から逃れるためにドメインを随時切り替える仕組みが組み込まれています。
また、この攻撃は、最近主流となっている攻撃パターンと一致しています。たとえば、偽のアカウントを作成するのではなく、正規のアカウントを侵害する手法や洗練されたソーシャルエンジニアリングなどの特徴が挙げられます。
フィッシング攻撃の概要
攻撃ベクトルと手法:メールによるフィッシング
主な手口:ブランドのなりすまし、認証情報を収集するフィッシングサイト
対象:世界中の組織
プラットフォーム:Microsoft 365
SEGなどの検出を回避:はい
Capital Oneの顧客を標的としたブランドなりすまし
このフィッシングメールは、広範な宛先リストに向けて送信されていますが、真の狙いはCapital Oneの利用者のオンラインバンキング情報です。
メールには、Capital Oneのブランドを忠実に再現したメールテンプレートが使用されており、偽物とは気づかないデザインとなっています。メールの主な内容は、詐欺対策やアカウントアクセスといった、セキュリティやITに関連するテーマです。これにより「詐欺に遭っているかもしれない」といった不安を煽り、被害者にアクションを取るように誘導します。
しかし、誘導先は正規のCapital Oneサービスではなく、認証情報を収集するフィッシングサイトとなっています。
以下は、PhishERで通報された実際のフィッシングメールの例です。
実際に確認されたセキュリティ関連の件名例 *抄訳
認証情報を盗むための技術的手口
被害者がフィッシングリンクをクリックすると、Capital Oneに偽装したフィッシングサイトに誘導され、オンラインバンキングの認証情報の入力を求められます。
KnowBe4の分析によると、これらのサイトではドメイン分離を活用して、盗まれた情報は、フィッシングサイトとは別のインフラを通じて攻撃者のもとへ送信されていました。このようにして攻撃者は自身の運用上のセキュリティを高めています。
巧妙化するフィッシング攻撃への対抗策
この攻撃は、サイバー犯罪者がフィッシングの成功率を高めるために用いているさまざまなTTP(戦術・技術・手順)を使用しています。
特に、過去のキャンペーンで収集された正規アカウントを活用するという点からも、フィッシングの高度化が進んでいることが分かります。一つの攻撃が終われば、次の攻撃が始まるという連鎖を断ち切ることが、組織にとって緊急に解決すべき課題です。
また、銀行口座や個人情報に対する不安を逆手に取ったソーシャルエンジニアリング手法も攻撃がさらに巧妙になっていることを表しています。生成AIの普及により、攻撃者はシンプルなプロンプトで高度にカスタマイズされた攻撃文を即座に生成できるようになっている上で、不安や緊急性といった心理的に人を操作する工夫が組み込まれています。
さらに、この攻撃からは、従来の検出技術を巧みにすり抜けるTTPがいかに効果的かが明らかになっています。シグネチャベースやレピュテーションベースの検出手法が広く普及した今、それらを回避することは、攻撃者にとっては当たり前となっています。
こうした高度なフィッシング攻撃への備えとして、以下の3点が重要となります:
原典:KnowBe4 Threat Lab著 2025年5月29日発信 https://blog.knowbe4.com/capital-one-customers-targeted-by-credential-harvesting-phishing-campaign