あなたの認証情報が数秒で盗まれる時代に：Telegramボットを使ったフィッシングの実態

KnowBe4 Threat Labは、Telegramをデータ抽出経路として悪用する、高度なクロスプラットフォームフィッシングキャンペーンを特定し、分析しました。

このキャンペーンでは、セキュリティをテーマにしたフィッシングメール、ブランドを模倣した認証情報のフィッシングサイト、そしてTelegramボットを組み合わせて、情報を窃取しています。

分析の結果、今回の攻撃はPhishing-as-a-Service（PhaaS）キットとして販売されていると見られ、複数の脅威アクターが同じインフラを利用した攻撃を展開できるようになっています。そのため、この攻撃キャンペーンは広範に拡大する恐れがあります。また、認証情報を盗み取るためのフィッシングサイトは、特定の企業やサービスに限定せず複数の有名ブランドになりすましているため、攻撃者の目的は情報の所属先にはこだわらず、とにかくできるだけ多くのログイン情報を集めることにあると考えられます。

フィッシング攻撃概要

攻撃ベクトルと手法：Eメールフィッシング
主な手口：フィッシングリンク、なりすまし、自動的な情報送信
対象：全世界
プラットフォーム：Microsoft 365、Google
SEGなどの検出をバイパス：確認済み

この攻撃キャンペーンは3段階で構成されており、最初の2段階は典型的な認証情報を狙った攻撃と似ていますが、より信憑性を高め、従来の防御策をすり抜けるための工夫が加えられています。

第1段階では、「不審なログインが検出されました」といったセキュリティ関連の通知を装ったフィッシングメールが送信されます。

続いて、メールや添付ファイル内のリンクをクリックすると、ユーザーに関連深い企業を模倣したフィッシングサイトに誘導されます。裏側では、複数のホスティングプロバイダーを活用し、ドメインを頻繁に切り替えることで、ブロックリストを回避しています。

最後に、入力された認証情報は、設定されたトークンやチャットIDを通じて、攻撃者が持つTelegramボットにリアルタイムで送信されます。Telegramの正規インフラを悪用しつつ、数秒以内にアカウント侵害を開始できるという仕組みです。

「セキュリティ」を装ったフィッシングメールがユーザー善意につけ込む
攻撃の初期段階で送信されるフィッシングメールは、不正アクセスやセキュリティ設定の更新通知など、サイバーセキュリティに関連する内容を装うことで、ユーザーの信頼を得るように設計されています。また、「アカウントが危険な状況」「組織に迷惑をかけてしまう」と思わせることで、反射的な行動を誘発します。

下記の例に見られるように、被害者がすぐに行動を起こすよう仕向けるために、機能やアクセスが停止される可能性があるといった文言が巧妙に盛り込まれています。

今回の攻撃では、フィッシングキットの一部としてメールも提供されていましたが、送信方法は攻撃者によって異なりました。中には、正規のメールアカウントを悪用することで、ドメイン認証やレピュテーションベースの検知を回避するような攻撃パターンが見られました。また、なりすましのドメインから送信された攻撃も確認されており、信頼できる差出人に見せかけることで、被害者の警戒心を下げる狙いが見えます。

以下は確認した件名の例です：

• アカウントが一時停止されました
• アカウント停止に関するお知らせ
• [サービス名] のご利用確認をお願いします
• 新しいサインインが検出されました
• メール停止通知

メール内やPDF添付ファイルに埋め込まれたリンクは、いずれも認証情報の窃取を狙ったフィッシングページに誘導される仕組みです。

有名ブランドを模倣するフィッシングページ
より多くの認証情報を収集するため、フィッシングページには、標的とする組織に関連するブランドを模倣する仕組みが組み込まれています。Microsoft、Google、Adobeなどの有名ブランドを装ったページが表示され、あらかじめユーザーのメールアドレスが入力されていることもあります。

フィッシングサイトのソースコードには、受信者に合わせてサイトの外観を調整する高度なブランディング機構が実装されており、JavaScriptでメールアドレスから情報を抽出し、ログインページのデザインがカスタマイズされる仕様となっています。

下の例のように、「このままだと機能が無効になります」といった警告文で、即時のアクションを促す仕掛けも含まれています。

また、このキットにはブラウザの言語設定を取得する関数（GetBrowserandLanguage()）を使い、ユーザーのいる地域によって表示内容を調整するローカライズ機構も確認されています。これにより、認証フォームや警告文がユーザーの使用言語で表示され、フィッシングページの信頼性がさらに高まります。

このようにカスタマイゼーションによって、多くのユーザーは認証情報をフィッシングサイトに入力していることに気付きにくくなります。さらに、メールアドレスがあらかじめ入力されていることで、入力項目が一つ減り、ユーザーが行動を振り返る余地も少なくなります。さらに、事前にメールを入力することで、攻撃者はより確実に業務用のログイン情報を入手できるようになります。

Telegramボットを使った認証情報の送信
このキャンペーンの最大の特徴は、Telegramを使った高度なデータ抽出アーキテクチャです。被害者がフィッシングサイトに認証情報を入力すると直後に、「インスタントセッションキャプチャ」と呼ばれる仕組みが発動し、TelegramのボットAPIを通じてデータが攻撃者に即時送信されます。

認証情報が送信されると、フィッシングキットはメールアドレス、パスワード、位置情報、IPアドレスなどを含む認証パッケージをまとめ、Telegramの通知システムを通じて、攻撃者のモバイル端末に届けます。これにより、攻撃者は数秒以内に認証情報を利用できる状態になります。

技術的には、Telegramの堅牢なAPIインフラを活用し、正規のインフラと暗号化機能を備えた、耐性性の高いコマンド・コントロールチャネルを構築しています。

こうした正規サービスの悪用は以前からある手法で、Threat LabではMicrosoft、Google、QuickBooksなどを悪用した類似の事例も分析しています。

認証情報を盗み出すフィッシングを検知するためには
本キャンペーンには、技術的な検知を回避し、ユーザーの信頼を得るための要素が多数含まれています。こうした手法が広く採用されている現在では、シグネチャーベースやレピュテーションベースの検知をすり抜けることは、サイバー犯罪者にとって当然の工程となっています。実際、今回の攻撃でも、乗っ取られた正規アカウントからの送信が確認されており、今後もこうした手口はさらに増えると見られます。

さらに、サイバーセキュリティに関連する話題を利用したソーシャルエンジニアリングや、有名ブランドを偽装するフィッシングサイトの使用は、ユーザーが騙される確率をさらに高めます。

このような攻撃の対策として、近年では多くの組織が、AIを活用して高度なフィッシング脅威を検出し、従業員による悪質なリンクや添付ファイルへのアクセスを防止する KnowBe4 Defend のようなクラウドメールセキュリティ（Integrated Cloud Email Security）製品を導入しています。

また、KnowBe4 PhishER の実際のフィッシングメールを訓練用のシミュレーションに変換する機能などによるトレーニングも活用されており、従業員が最も遭遇しやすいフィッシング攻撃に備える教育が進められています。

KnowBe4 Threat Labについて
KnowBe4 Threat Labは、専門的な分析とクラウドソースされた知識を組み合わせて、メール脅威やフィッシング攻撃の調査を専門としています。

最新の調査はXでも発信中：https://x.com/Kb4Threatlabs