主な調査結果
- 2025年5月現在、プルーフポイントの脅威インテリジェンスの中で、最も多く検出されているメール脅威は「CoGUI」と呼ばれるフィッシングキットであり、日本の組織を積極的に標的にしています。
- CoGUIの攻撃キャンペーンでは、主にコンシューマー向けブランドや金融ブランドなどの有名企業になりすましています。
- この攻撃キャンペーンの目的は、ユーザー名、パスワード、および支払いデータを盗むことです。
- CoGUIは「Darcula」として知られるフィッシングキットといくつかの類似点があり、どちらも中国語を話す脅威アクター(攻撃グループ)によって使用されています。
- CoGUIキットには、複数の高度な検知回避技術が組み込まれています。プルーフポイントでは、これに対抗するための検出機能およびEmerging Threatsルールを作成しています。
- CoGUIの活動は、日本の金融庁が最近発表した、金融窃盗に繋がるフィッシングキャンペーンに関する報告と一致しています。
概要
プルーフポイントは、日本の組織を標的とした日本語による大規模なキャンペーンの増加を確認しており、同社のリサーチャーが「CoGUI」と呼ぶフィッシングキットを配布することを目的としています。観測されたキャンペーンのほとんどは、Amazon、PayPay、楽天などの人気消費者ブランドや決済ブランドを悪用したフィッシング誘導が行われています。
CoGUIフィッシングキットは、プルーフポイントのリサーチャーによって確認された高度な回避能力を持つフィッシングフレームワークであり、主に日本のユーザーを標的としています。オーストラリア、ニュージーランド、カナダ、米国のユーザーを標的としたキャンペーンもいくつか確認されていますが、日本ほど頻繁ではありません。
脅威アクター(攻撃グループ)がCoGUIフィッシングキットを用いて日本の組織を標的に送信したメッセージ数の多さから、日本はプルーフポイントの攻撃キャンペーンデータにおいて最も標的とされている国の一つとなっています。ただし、日本を標的とする大量のフィッシングは今に始まったことではありません。2020年にも、プルーフポイントは同様の手法を用いた日本語のフィッシングキャンペーンに関するレポートを公開しています。
日本の当局は最近、金融機関を標的としたフィッシング活動の増加に関する詳細を公開しました。脅威アクター(攻撃グループ)の目的は、金銭的利益を得るために被害者のアカウントへアクセスすることであり、多くの場合、不正に得た資金で中国の低位株を購入しています。プルーフポイントではこの活動がCoGUIと関係しているかどうかを高い確信度で断定することはできませんが、これは認証情報を盗むフィッシングの結果として起こりうる一つの可能性です。特筆すべき点として、2025年4月の米国政府による相互関税の発表以降、金融関連のCoGUIキャンペーンが増加しており、一部のCoGUIキャンペーンでは関税をテーマとした誘導が使用されていました。
攻撃キャンペーンの詳細
CoGUIは、ジオフェンシング、ヘッダーフェンシング、フィンガープリンティングなどの高度な検知回避技術を用いる洗練されたキットです。これらの手法により、自動化されたブラウジングシステムやサンドボックスによる検知を回避しつつ、特定の地域を選択的に標的とすることが可能になります。そのため、標的となった国の被害者にとって重大な脅威となっています。
CoGUIは少なくとも2024年10月から活動が確認されており、プルーフポイントでは2024年12月から追跡しています。これらのキャンペーンでは、数十万件から数千万件のメッセージが送信されており、平均して月に約50件のキャンペーンがプルーフポイントのリサーチャーにより確認されています。
攻撃キャンペーンとは、一定期間内に関連した一連の活動を指します。CoGUIの攻撃キャンペーンの場合、通常は3~5日間の期間にわたる活動が含まれます。プルーフポイントでは、ブランドのなりすまし、送信者情報、脅威アクターが使用するCoGUIインフラなどの多様な基準に基づいてこの活動を追跡しています。
キャンペーン全体のメッセージ量は、2025年1月にピークに達し、この月には1億7200万件以上のメッセージが観測されました。なお、これらのキャンペーンの大部分は当社のProofpoint TAP(未知の脅威を検知するサンドボックスソリューション)製品内で直接観測されていますが、総メッセージ量が非常に多いため、一部の活動は既知の攻撃としてそれ以前の検知ステージで自動的にブロックされ、追加のコンテクスト付けが行われない場合があります。
月別に観測されたCoGUIキャンペーンの総数
月別にキャンペーンで観測されたCoGUIメッセージ数
観測された攻撃キャンペーンの大半はAmazonになりすましていますが、プルーフポイントのリサーチャーは、脅威アクターが決済カード、交通系カード、人気のある銀行、楽天やAppleなどの小売業者、日本の国税庁になりすました事例も確認しています。
2024年12月から2025年4月までにCoGUIキャンペーンに登場した主要ブランドの件数
観測されたキャンペーンには、URLが含まれており、フィルタリングを通過すると、認証情報を収集するフィッシングサイトへ誘導されます。特に注目すべき点として、観測されたCoGUIキャンペーンには多要素認証(MFA)の認証情報を収集する機能が含まれていません。多要素認証の収集機能は、現在最も頻繁に観測されているメール認証情報フィッシングサービスでは標準となっているため、このように頻繁に観測されるキットにこの機能がないことは珍しいことです。ただし、CoGUIによるMFAの収集機能が確認されていないだけで、存在していないとは断定できません。
楽天証券の事例
プルーフポイントは、楽天証券をテーマとしたCoGUIキャンペーンを観測しました。このキャンペーンでは、いくつかのメールにおいて「関税」に言及されていました。たとえば、ある件名は「【緊急対応】関税危機に対するAI投資戦略:木内英司トップアナリスト監修ツール限定公開」でした。
楽天を装ったフィッシングメール
これらのメールには、楽天証券を装った認証情報入力ページへ誘導するURLが含まれており、ユーザーの認証情報を収集する目的で設計されていました。CoGUIの設定は以下のとおりでした:
"codeName":"日本rakuten乐天证券"
この活動は、日本の金融庁が発表した証券会社に対するフィッシング攻撃の影響に関する報告と一致しています。同庁の報告には既知のキャンペーンと比較するための侵害インジケーターは含まれていませんが、プルーフポイントが4月に観測した楽天をテーマとしたキャンペーンおよびその他の金融機関を装ったキャンペーンは、報告書に記載された手口と一致しているように見受けられます。
Amazonの事例
2025年3月24日から30日にかけて観測されたキャンペーンでは、件名が「アカウント保護のため、アカウント情報を更新してください」となっており、Amazonからのメッセージを装っていました。
Amazonを装ったフィッシング誘導
これらのメッセージには、偽のAmazon認証ページへ誘導するURLが含まれており、CoGUIフィッシングキットを利用してユーザーの認証情報および支払い情報を収集するよう設計されていました。
CoGUIの設定は以下のとおりでした:
"codeName":"日亚amazon无账单"
このキャンペーンでは、ユーザーはまずAmazonアカウントのユーザー名とパスワードを入力するよう促されました。
Amazonを装ったCoGUIのランディングページ
その後、ユーザーは支払い情報の入力を求められ、ユーザー名、パスワード、クレジットカード情報の窃取につながります。これは、小売業者を装ったCoGUIキャンペーンにおける典型的な攻撃の流れです。
Amazonを装った支払い情報収集ページの例
PayPayの事例
支払いをテーマとしたなりすましでは、誘導文や収集されるデータは通常似通っています。これらは、本人確認、支払い要求、またはギフト券や「ポイント」の引き換えなどを装います。たとえば、2025年3月10日から16日にかけて、リサーチャーは件名が「【春の感謝祭】Amazonギフト券&PayPayポイント10万ポイントが当たるエントリー受付中!」というPayPayをテーマとしたメールを確認しました。
PayPayを装ったメール
これらのメッセージには、偽のPayPay認証ページへ誘導するURLが含まれており、ユーザーの認証情報および支払い情報を収集するよう設計されていました。
CoGUIの設定は以下のとおりでした:
"codeName":"日本paypay"
PayPayを装ったCoGUIのフィッシングランディングページ
技術的詳細とDarculaフィッシングキットとの関連
フィッシングページを表示する前に、CoGUIは被害者のブラウザをプロファイリングします。このプロファイリングは標的設定のために使用されますが、自動解析サンドボックスを回避する目的もあると考えられます。CoGUIが収集する情報には以下が含まれます:
- GeoIP(IPアドレスの地理的ロケーション)
- ブラウザの言語設定
- ブラウザの種類(例:Chrome)
- ブラウザのバージョン
- モニターの高さと幅
- OSプラットフォーム(例:win32)
- ブラウザがモバイルデバイス上で実行されているかどうか
ブラウザのプロファイリング内容はキャンペーンによって異なる場合があります。あるキャンペーンではモバイルブラウザのユーザーを標的にし、別のキャンペーンではWindowsパソコンのユーザーを標的にします。どの基準であっても、ブラウザプロファイルの条件を満たすと、CoGUIはフィッシングページを表示します。条件を満たさない場合は、被害者を正規のWebサイトにリダイレクトします。たとえば、「Amazon.co.jp」を装っている場合は、被害者は本物の日本のAmazonサイトにリダイレクトされます。
興味深いことに、CoGUIフィッシングキットを調査する中で、リサーチャーはプルーフポイントが追跡している別の活動「Road Toll Smishing(通行料スミッシング)」との類似点にも気づきました。これは、米国の電話番号宛に未払い通行料金に関するSMSが送られるもので、メッセージにはすぐに支払いを始めるよう促すURLが含まれています。
2025年以降、Road Toll Smishingのインフラは「Darcula」というフィッシングキットを使用するように進化しました。サードパーティのリサーチャーは、Darculaを中国を拠点とする「Smishing Triad(スミッシング三合会)」という活動グループの一部と見なしています。プルーフポイントのリサーチャーは、当初DarculaのRoad Toll SmishingがCoGUIに関連している可能性があると考えました。その理由は以下の類似点にあります:
- どちらも最初に最低限のHTMLランディングページを配信し、後からリソースを読み込みます。
- CoGUIは、ファイル名にランダムな英数字を含む.jsや.cssファイルを参照し、HTMLの言語タグを日本語(例:<html lang="jp">)に設定します。
- Darculaは、ファイル名に16進数を含む.jsや.cssファイルを参照し、Vue.jsテンプレートを使用しますが、新しいバリアントではランダムな英数字も確認されています。
- どちらも同じオンラインサービスを使用してユーザーのブラウザをプロファイリングします。プロファイルが満たされれば、フィッシングページが配信されます。ただし、Darculaはモバイルユーザーのみを標的にし、CoGUIはモバイルおよびWebブラウザの両方を対象とします。
- 両方とも、コード内および応答内に中国語を含んでいます。
- 両者とも、短く単語のみのURIを持つURLを使用します。
最終的な分析結果としては、DarculaフィッシングキットはCoGUIとは無関係であり、Road Toll Smishingにおけるその存在は明確に異なるものです。
プルーフポイントのリサーチャーは、プルーフポイント独自の検出機能および本レポート末尾に記載されたEmerging Threats PROのCoGUI用シグネチャによって、CoGUIを識別することができます。同様に、Darculaに対するEmerging Threats OPENおよびPROのシグネチャも提供されています。プルーフポイントは、CoGUIが使用する回避技術を回避し、既知のバージョンおよび実装に対する保護を提供することが可能です。
アトリビューション(脅威アクターの特定)
キャンペーンの活動量、ブランドなりすましの多様性、同一ブランドを使ったキャンペーンのタイミング、ホスティングインフラの違いなどを踏まえ、プルーフポイントはこのフィッシングキットが複数の異なる脅威アクターによって使用されていると評価しています。キットの特徴および確認された活動から、CoGUIフィッシングキットの利用者は中国語を話す脅威アクターであり、主に日本語話者を日本国内で標的としていると考えられます。日本国外を標的としたキャンペーンでも、日本語話者や日本で活動する企業・従業員を主に狙っていることが多いです。プルーフポイントはまた、Darculaも中国語を話す脅威アクターによって使用されていると見ていますが、Darculaを使用するアクターはより広範な地理的領域を標的にしていることが確認されています。
CoGUIの登場は、2023年以降にサイバー脅威の全体像の中で増加している中国語圏のサイバー犯罪の傾向と一致しています。これにはDarculaのようなフィッシングキットや、Gh0stRATの亜種をベースとしたマルウェアキャンペーンなどが含まれます。
フィッシング対策のベストプラクティス
フィッシングキットは、信頼されたブランドやサービスを模倣したルアー(おとりのテーマ)を使用して、ユーザーがURLに含まれるペイロードをクリックする可能性を高めます。これらの誘導は、タスクを急いで完了させるような緊急性を演出することが多く、URLをクリックすることが最も手っ取り早い解決策に見えるようにします。こうした危険でありながら効果的な誘導に対抗するには、リンクを即座にクリックしないことが重要です。
代わりに、一旦落ち着いて、そのサービスの公式Webサイトにアクセスし、自身のアカウントにログインして誘導の主張が正しいかどうかを確認してください。組織は、人気のある消費者ブランドや金融ブランドになりすましたフィッシングの存在についてユーザーに教育を行い、発見した場合はITチームに報告するよう推奨すべきです。また、すべてのアプリケーションとサービスにおいて多要素認証(MFA)を実装することが望まれますが、MFAフィッシングに完全に対処するには、FIDOやその他の物理的セキュリティトークンの使用が推奨されます。
このようにして慎重に対応することで、ユーザーの認証情報や支払い情報が流出するリスクを大幅に減らすことができます。
Emerging Threats による検出情報
2859484 - ETPRO PHISHING CoGUI Phish Landing Page 2024-12-31
2859492 - ETPRO PHISHING CoGUI Phish Landing Page M1 2025-01-02
2859534 - ETPRO PHISHING CoGUI Phish Landing Page M1 2025-01-08
2859535 - ETPRO PHISHING CoGUI Phish Landing Page M2 2025-01-08
2859536 - ETPRO PHISHING CoGUI Phish Landing Page M3 2025-01-08
2859537 - ETPRO PHISHING CoGUI Phish Landing Page M4 2025-01-08
2859538 - ETPRO PHISHING CoGUI Phish Landing Page M5 2025-01-08
2859539 - ETPRO PHISHING CoGUI Phish Landing Page M6 2025-01-08
2859891 - ETPRO PHISHING CoGUI Phish Landing Page 2025-02-04
2859493 - ETPRO PHISHING Darcula Landing Page M2 2024-01-02
2058954 - ET PHISHING Darcula Landing Page 2024-01-03
2859845 - ETPRO PHISHING Darcula Phish Landing Page 2024-01-29
2060401 - ET PHISHING Darcula Credential Phish Socket Response 2025-02-27
2060402 - ET PHISHING Darcula Credential Phish Landing Page M1 2025-02-27
2060403 - ET PHISHING Darcula Credential Phish Landing Page M2 2025-02-27
IoC(侵害指標)の例
|
Indicator |
Description |
First Seen |
|
hxxps://zjkso[.]cn/QJSmxXOQ/ |
Example CoGUI Phishing Landing Page, SBI Branded |
28 April 2025 |
|
hxxps://uhlkg[.]cn/HJmOkggh |
Example CoGUI Phishing Landing Page, Rakuten Branded |
16 April 2025 |
|
hxxps://kzongfd[.]bo5wfb0f9[.]top/Kfade |
Example CoGUI Phishing Landing Page, Amazon Branded |
24 March 2025 |
|
hxxps://evrryday[.]com/paypay-login-ne-jp |
Example CoGUI Phishing Landing Page, PayPay Branded |
10 March 2025 |
|
hxxps://ezdrivema[.]com-kpy[.]win/I/ |
Example Darcula, Phish Landing Page, EZ DriveMA Branded
|
URLScan .IO
Submission: On March 01 via manual (March 1st 2025, 3:43:24 am UTC) from US — Scanned from PT
|
|
hxxps://sunpass[.]com-tyjr[.]cc/pay/ |
Example Darcula, Phish Landing Page, SunPass Branded
|
URLScan .IO
Submission: On April 10 via api (April 10th 2025, 10:04:25 pm UTC) from US — Scanned from NL |
|
hxxps://etcady[.]xin/pay/
|
Example Darcula, Phish Landing Page, TxTag Branded
|
URLScan .IO
Submission: On April 09 via api (April 9th 2025, 9:54:38 pm UTC) from US — Scanned from US
|
