正規ドメインが悪用！世界的ブランドを騙る高度なフィッシング

リードアナリスト：Louis Tileu、Lucy Gee、James Dyer

2025年10月29日13時48分から10月30日18時53分（米国東部時間）にかけて、KnowBe4 Threat Labは、世界最大級のスポーツウェアブランドの正規ドメインから送信された大量のフィッシングメールをKnowBe4 Defendで確認しました。

フィッシングキットやテンプレート、そしてAIを自在に操る現代の攻撃者にとって、従来のメールセキュリティをすり抜けるために、ポリモーフィック（多形態）な要素を取り入れた大規模なキャンペーンを展開することは、決して難しいことではありません。

この攻撃では、なりすましを中心とした多様なソーシャルエンジニアリングの手法が駆使され、シグネチャベースの検出を回避するためにペイロードが絶えず変更されていました。

今回のケースが特に際立っているのは、送信元が世界的に有名なスポーツブランドの侵害された正規ドメインであるという点です。通常、こうした大手ブランドは対策が進んでいることが多い一方、知名度の高さゆえに攻撃者に狙われやすい側面もあります。

ドメインを悪用することができれば、攻撃者は以下の活動が可能になります。

• 組織内での横展開： 他のシステムやデータに侵入し、より大きな利益を狙う
• 攻撃の拡散： 侵害したアカウントから追加のフィッシングメールを送信し、ブランドの権威性と正規ドメインを悪用して被害を広げる
• 継続的ななりすまし： インシデント収束後もドメインスプーフィングなどで当該ブランドを装い続ける

「Scattered Spider」などの犯罪グループによる大手小売業者への攻撃事例に見られるように、こうした攻撃は被害組織に多大なコストを強いるだけでなく、なりすましキャンペーンが数週間、時には数ヶ月にわたって続くリスクが潜んでいます。

フィッシング攻撃概要

• 攻撃ベクトルと手法： Eメールフィッシング
• 認証プロトコルの回避： SPF、DKIM、DMARC
• SEGなどの検出をバイパス： はい
• 主な手口： ビジネスメール詐欺（BEC）、なりすまし、ポリモーフィックなコンテンツおよびペイロード
• 対象： グローバル組織（80カ国以上）

攻撃は、ブランド側がアカウントの制御を回復したと思われる10月30日の夕方まで続きました。地域を絞ったターゲティングに加え、多様な攻撃手法とペイロード配布手段が使われており、計画性の高さがうかがえます。

なお、攻撃者はセキュリティ回避のために当該ブランドのドメインを悪用していましたが、現時点で分析したメールの中に、ブランド自体になりすました例は確認されていません。

攻撃者はどのようにドメインを悪用しているのか

スポーツブランドのドメインがいつ、どのようにして侵害されたのかは不明ですが、乗っ取りが成功した直後から攻撃が開始されたと考えられます。これは、攻撃者が組織のセキュリティチームが異常を察知してアクセスを遮断するまでの「時間との戦い」であることを熟知しているためです。

実際に、攻撃は10月29日と30日の2日間にわたって集中的に行われ、29日には最多となる955通のメールが観測されました。前述の通り、これらは当該スポーツウェアブランドになりすましたものではなく、英国のビザ・移民当局（UKVI）やMicrosoftなどになりすましていました。

今回のキャンペーンで確認された差出人の表示名とアドレスの例は次の通りです。

• UK VISA An& Immigration <no-reply@[ブランド].com>
• <noreply@[ブランド].co>
• eSc@n_@[40桁の16進数コード] <cdp.monitoring@[ブランド].com>
• [顧客名] <cdp.monitoring@[ブランド].com>

また、件名には以下のようなものが使われていました。

• 重要：入札 [顧客名] REF:[40桁の16進数コード]
• システムメンテナンス：パスワード認証の期限が本日切れます ID:[10桁のコード]
• 件名：[顧客名] 支払い通知 – Ref: [6桁のコード]
• 確認：スポンサーシップ管理 Ref:[40桁の16進数コード]

これらのメールは、件名やハイパーリンクのペイロードをポリモーフィックに変化させることで、SEGによるシグネチャベースやレピュテーションベースの検出を回避していました。一部のペイロードは添付ファイル内に難読化して隠されており、従来の防御策では検知が困難な仕様になっていました。

また攻撃は世界80カ国の組織を標的にしており、標的国に合わせて内容が調整されていました。例えば、英国のビザ・移民局になりすましたメールは、英国の組織のみに送信されていました。

この例では、メール内のリンクをクリックすると、英国のビザ・移民局を装った認証情報窃取（クレデンシャル・ハーベスティング）サイトに誘導されます。攻撃者は公式サイトのHTMLコードを流用して偽サイトを構築し、見た目をほぼ同一にすることで、違和感に気づきにくくしています。

一般的なクレデンシャル・ハーベスティング攻撃と同様、ターゲットが情報を入力しても正規のシステムにアクセスすることはできません。その代わり、入力したユーザー名とパスワードは直接サイバー犯罪者の手に渡ります。奪われた情報は、機密情報への不正アクセスに利用されるほか、ダークウェブで転売されるといった二次被害を招く恐れがあります。今回のケースでは、もしターゲットが英国のビザ・移民局（UKVI）のアカウントを所有していた場合、多くの個人情報へのアクセスを許してしまうことになります。

また別の事例では、サイバー犯罪者がMicrosoftになりすまし、SharePointのドキュメントにアクセスさせようとして被害者を欺こうとしていました。

高度なフィッシング攻撃を検知するために

今回のキャンペーンは、SEGによる検出を回避し、ターゲットを心理的に操作してアクションを促す高度な手口がいくつも組み合わされています。

正規ドメインを使用することで、攻撃者はSPF、DMARC、DKIMといった主要なメール認証プロトコルをすべて通過しました。また、送信者アドレスを頻繁に変え、コンテンツを変化させることで、シグネチャベースの防御を無効化しました。

こうした「SEGを突破すること」を前提とした攻撃に対しては、さらなる防御層が必要です。そこで重要になるのが、KnowBe4 Defendのような統合型クラウドメールセキュリティ（ICES）製品の導入です。

インバウンドメールに対して「ゼロトラスト」のアプローチをとり、正規ドメインからの送信であっても、すべてのメールを包括的に分析することが不可欠です。ICES製品は、AIを活用した自然言語処理（NLP）や自然言語理解（NLU）を用いて、不自然な要求や心理的圧迫といったフィッシング特有の言語的特徴を検知します。さらに、文脈に応じたバナーでリアルタイムに注意を促し、受信者の気づきを支えます。

脅威が進化し続ける中、人、顧客、データ、そしてシステムを守るためには、メールセキュリティを多層化し、最新のテクノロジーと人の意識の両面で備えることがかつてないほど重要になっています。