News1st.jp

国境なきフィッシング:新世代 PhaaS の脅威

News1st News1st

Morphing Meerkatが100以上のブランドを偽装し、認証情報を盗む。

2025年4月3日(木) – Infoblox Threat Intel(DNS 脅威インテリジェンスチーム)は、世界中の企業に重大な脅威をもたらす高度なフィッシング アズ ア サービス(PhaaS:Phishing as a Service) プラットフォームを発見したことを発表します。

Morphing Meerkat と名付けられたこれらのキャンペーンの背後にいる脅威アクターは、DNS メール交換(MX)レコードを巧みに利用して偽のログインページを動的に提供し、100以上のブランドになりすまし、ログイン認証情報を不正に盗み出します。

被害者がフィッシングリンクをクリックすると、フィッシングキットは被害者のメールドメインの MX レコードを照会し、メールサービスプロバイダを特定します。この MX レコード情報に基づき、フィッシングキットは動的に偽のログインページを表示し、被害者の実際のメールサービスプロバイダのログインページを模倣します。この斬新な DNS テクニックは、他の目的で存在するメールコンフィギュレーションを使って、被害者向けにコンテンツをカスタマイズすることを可能にします。これは、脅威アクターが既存環境の正規の管理ツール、コマンド、機能等を利用して身を隠す「Living Off The Land」と呼ばれるテクニックの DNS バージョンです。

Morphing Meerkat は、サイバー犯罪者に巧妙なフィッシングキットを提供します。

サイバー犯罪者が Morphing Meerkat のようなフィッシング詐欺でログイン認証情報を入手した場合、特に企業にとっては深刻な影響が及ぶ可能性があります。これらの認証情報を使って、企業ネットワークに侵入し、機密データを盗み、さらに攻撃を仕掛けることも可能です。これは、企業にとって大きな金銭的損失、風評被害、法的責任につながる可能性があります。さらに、侵害されたアカウントは、他の従業員や顧客にフィッシングメールを送信するために使用され、攻撃をさらに拡大し、広範囲に混乱を引き起こす可能性があります。

企業における効果的なサイバーセキュリティ対策には、可視化と監視が不可欠です。 Morphing Meerkat は、DNS クローキングやオープンリダイレクトのような高度なテクニックを使って、サイバー犯罪者がいかにセキュリティの盲点を突いているかを例証しています。組織は、システムに強力な DNS セキュリティレイヤーを追加することで、この種の攻撃から身を守ることができます。これには、ユーザーが DoH サーバーと通信できないように DNS 制御を強化したり、ビジネスに重要でないアドテクやファイル共有インフラへのユーザーアクセスをブロックしたりすることが含まれます。企業がネットワーク内の重要でないサービスの数を減らすことができれば、攻撃対象領域を減らすことができ、サイバー犯罪者が脅威を提供するための選択肢を減らすことができます。

ブログ(英語)の全文はこちら:
blogs.infoblox.com/threat-intelligence/a-phishing-tale-of-doh-and-dns-mx-abuse/

日本語ブログはこちら:
note.com/infoblox/n/n93b0fb5bf06e

Infobloxについて
Infobloxはネットワークとセキュリティを統合し、比類のないパフォーマンスと保護を提供します。フォーチュン100の企業や新興のイノベーターに信頼され、ネットワークに接続するユーザー、デバイスおよびその接続先をリアルタイムで可視化し制御することで、組織の迅速な稼動と脅威の早期防御を実現します。Infoblox.comをご覧いただくか、LinkedInまたはXでフォローしてください。
モバイルバージョンを終了