リサーチャー:James Dyer、Louis Tiley
KnowBe4 Threat Labは、2025年5月5日から7日にかけて、正規のサービス「EUSurvey」で作成されたアカウントを発信元とするフィッシングキャンペーンを確認しました。
この攻撃は他のキャンペーンに比べて規模は小さいものの、洗練された複数の手法が組み合わされており、注意喚起すべき事例です。
今回のキャンペーンのように、欧州連合(EU)などの公的機関を装ったメールは、受信者に信頼されせやすく、結果として被害につながるリスクが高まります。
EUSurveyフィッシング攻撃概要
これらの攻撃は全てKnowBe4 Defendにより検出および無効化され、Threat Labにより解析されました。
攻撃ベクトルと手法:メールフィッシング
主な手口:ソーシャルエンジニアリング、ポリモーフィックリンク、ペイロードスマグリング
対象:世界各国
プラットフォーム:Microsoft 365
SEGなどの検出をバイパス: 有り
EUSurveyは、EU域内およびEU域外の機関が簡単にアンケートを作成・カスタマイズできる正規のプラットフォームです。今回のキャンペーンでは、このサービスを悪用して送信されたアンケート通知メールに、悪意あるペイロードが埋め込まれていました。正規のドメインから送信されていることから、SPF、DKIM、DMARCといったメール認証プロトコルをすり抜けてしまいます。
攻撃者はポリモーフィックリンク(変化するリンク)を用いてペイロードの検出を逃れ、受信者を認証情報を窃取する偽サイトへと誘導します。このような偽サイトで情報を入力させることで、不正アクセスや情報漏えいが引き起こされる恐れがあります。
EUSurveyフィッシングの実例:2つに分かれたメール
前半:悪意あるポリモーフィックペイロード
攻撃者はEUSurveyのアカウントを作成し、「EU-EUSURVEY@nomail.ec.europa.eu」という正規のドメインからフィッシングメールを送信していました。正規の送信元を使用することにより、SPF、DKIM、DMARCといったメール認証をすり抜けることが可能になります。これらの認証プロトコルは、送信元の正当性や送信途中での改ざんの有無を確認するものであるため、正規サーバーから送られ内容が改変されていないメールは認証をパスしてしまいます。
下記のスクリーンショットは、このフィッシングメールの上部を示したもので、ポリモーフィックリンクが密かに埋め込まれた部分です。メールごとにURLが異なるため、従来のセキュリティソリューションでは検出が困難です。特にSEGは、悪性のリンクをブロックリストで管理する「シグネチャベースの検出」に依存することが多く、1つのURLをブロックしても、ポリモーフィックなリンクを使用されると検出することができません。
さらに、ソーシャルエンジニアリング手法として、攻撃者はメール本文に「INV REMIT(送金案内)」という文言を入れており、支払いや請求に関する通知を装うことで、受信者にリンクを開かせるよう仕向けています。こうした金銭に関する内容はユーザーの注意を引きやすく、EU機関からのように見せることで、さらにクリックされる可能性が高まります。
後半:隠された正規の本文
この攻撃には続きがあります。正規サービスを経由しているため、元のアンケートメールの本文はそのまま残されていますが、文字が背景と同じ白色に設定されているため目立ちません。以下のスクリーンショットでは、スクロールダウンしただけの表示(左)と、白地部分をドラッグで選択した場合(右)を比較しています。
攻撃者は、アンケートやリンクが複数含まれていることに受信者が気づかれないよう、文字色を変更して隠すことを試みました。
ただし、EUSurveyの正規リンクは標準的なハイパーリンクとしてフォーマットされているため、色の変更はできず、表示されたままになっていました。正規なアンケートにリンクされているこのリンクが残っていることで、リンクスキャナーなどの検出ツールが問題のないメールと誤認してしまう可能性が高まります。
攻撃の第二段階:偽認証ページでの資格情報収集
メール上部の悪意あるリンクをクリックすると、ユーザーは偽の認証ページに誘導されます。このページは「キャプチャ認証」のように見える仕組みで、ユーザー操作を必要とすることで、リンクスキャナーが最終的な悪性サイトにアクセスするのを妨げます。このステップを挟むことで、最終的な偽ページの検出が困難になります。
攻撃者の最終目的は認証情報の収集のため、誘導先のサイトでは、ユーザーはログイン情報の入力を求められます。現在、これらの認証情報収集サイトはブロックされ、さらなる被害は防止されています。
高度なフィッシング攻撃を検知するには
今回の攻撃は完璧とはいえず、正規リンクを完全に隠しきれていなかったという欠点もありますが、EU関連の正規サービスを悪用していた点は注目すべきです。攻撃者がAppSheet、Microsoft、Google、QuickBooks、Telegramなど、信頼されているサービスを悪用するケースが増えている傾向と一致しています。
ポリモーフィックリンクとペイロードスマグリングを組み合わせたこの攻撃は、Microsoft 365やSEGで使われている従来型の検出を回避する、高度なアプローチです。そのため、多くの企業では、AIを活用して高度なフィッシングを検知できる統合型クラウドメールセキュリティ(KnowBe4 Defendなど)への移行を進めています。また、KnowBe4 PhishERのように、実際のフィッシングメールを訓練用シミュレーションに変換できるツールを活用することで、従業員に対する実践的な教育も可能になります。
原典:KnowBe4 Threat Lab著 2025年6月18日発信 https://blog.knowbe4.com/phishing-deep-dive-eu-affiliated-survey-platform-exploited-in-sophisticated-credential-harvesting-campaign