サイバー脅威研究所

「二重払い」フィッシング詐欺とインシデント対応の重要性:事例分析

2025-11-10
Cyber Security News 編集部/ シニアセキュリティアーキテクト
#インシデント

インシデントの概要

インフォセキュリティマガジンの報道によると、企業を標的とした巧妙なフィッシング詐欺「二重払い」キャンペーンが発生しています[1]。攻撃者は、まず企業の経理担当者や支払い担当者を特定し、既存の請求書に酷似した偽の請求書を送信します。請求書の形式や金額が本物と見分けがつかないほど巧妙に作成されているため、担当者は誤って二重に支払ってしまう可能性があります。攻撃のタイムラインは、標的型メール送信から始まり、最初の支払いが確認された後、迅速に資金を回収し、痕跡を隠蔽する流れです。検知の契機は、多くの場合、内部監査やサプライヤーからの問い合わせによるものです。主要な被害としては、金銭的損失に加え、企業の信用失墜や業務プロセスの見直しを余儀なくされるケースが考えられます。被害規模は公表されていませんが、同様の詐欺事例から推測すると、一件あたり数十万円から数百万円に及ぶ可能性があります。漏洩データ種別は、従業員のメールアドレス、銀行口座情報、支払い情報などが考えられます。

Diagram illustrating phishing email flow and victim interaction

攻撃者プロファイル:脅威アクターの分析

「二重払い」フィッシング詐欺キャンペーンの背後にいる脅威アクターは特定されていませんが、その手口から高度な組織犯罪グループまたは国家支援型アクターの関与が疑われます。類似の詐欺事例を分析すると、ラザルスグループやFIN7などのグループが、金銭的利益を目的とした同様のキャンペーンを展開しています。これらのグループは、高度なソーシャルエンジニアリング技術、標的型メール攻撃、マルウェア開発能力を有しており、標的のネットワークに侵入し、機密情報を窃取する能力も持ち合わせています。RaaS(Ransomware-as-a-Service)モデルを利用している可能性も考慮に入れる必要があります。このモデルでは、マルウェア開発者とアフィリエイトが協力して攻撃を実行し、得られた利益を分配します。マネタイズ手法としては、詐取した資金の直接的な利用、または窃取した情報の販売などが考えられます。過去の代表的な攻撃事例としては、ソニー・ピクチャーズエンタテインメントへの攻撃(ラザルスグループ)や、レストランチェーンへのPOSマルウェア攻撃(FIN7)などが挙げられます。

技術的分析:TTPsと侵入手口

MITRE ATT&CKフレームワークに沿って、今回のインシデントの侵入チェーンを分析します。

  • -Initial Access: 主な侵入経路は、スピアフィッシングメールです。攻撃者は、企業の支払い担当者や経理担当者を特定し、既存の請求書に酷似した偽の請求書を送信します。メールには、悪意のあるリンクや添付ファイルが含まれている可能性があります。
  • -Malware / Tooling: 今回のインシデントで使用されたマルウェアは特定されていませんが、標的のシステムに侵入し、情報を窃取するために、リモートアクセスツール(RAT)やキーロガーが使用された可能性があります。また、正規ツールを悪用するLiving-off-the-Land(LotL)戦術も採用されている可能性があります。
  • -Lateral Movement / Privilege Escalation: 一度システムに侵入すると、攻撃者は横展開を行い、ネットワーク内の他のシステムにアクセスしようとします。権限昇格のために、既知の脆弱性や設定ミスを悪用する可能性があります。認証情報窃取には、Mimikatzなどのツールが使用される可能性があります。
  • -Exfiltration & Impact: 最終的な目標は、金銭的利益を得ることであり、詐取した資金を迅速に回収し、痕跡を隠蔽します。データの窃取、暗号化、破壊活動は確認されていませんが、バックアップの破壊や再侵入のリスクも考慮する必要があります。ダブルエクストーションやトリプルエクストーションなどの恐喝スキームが将来的に利用される可能性も否定できません。
Conceptual diagram of incident response lifecycle

業界インパクトと推奨される防御策

今回のインシデントは、すべての業界に影響を与える可能性があります。特に、サプライチェーンが複雑で、多数の取引先とやり取りする企業は、より高いリスクにさらされています。IT/OT融合が進む現代において、OT環境への侵入経路としてIT環境が悪用されるケースも増加しており、注意が必要です。規制遵守の観点からは、GDPRや個人情報保護法などの規制に違反する可能性があります。

以下の実践的な対策を推奨します。

  • -Technical Measures:
  • -ネットワークセグメンテーションを徹底し、攻撃範囲を限定する。
  • -ゼロトラストアーキテクチャを導入し、すべてのユーザーとデバイスを検証する。
  • -EDR/XDRソリューションを導入し、エンドポイントでの脅威を検知・対応する。
  • -オフラインバックアップやアイソレーションバックアップを導入し、ランサムウェア攻撃からの復旧を可能にする。
  • -脆弱性管理を強化し、既知の脆弱性を迅速に修正する。
  • -ログ相関分析を自動化し、異常なアクティビティを早期に検知する。
  • -Organizational Measures:
  • -インシデント対応計画(IRP)を策定し、定期的な演習を実施する。
  • -サプライヤーリスク管理を強化し、サプライチェーン全体のセキュリティを確保する。
  • -法務・広報部門との連携を強化し、インシデント発生時の適切な対応を準備する。
  • -従業員向けのセキュリティトレーニングを実施し、フィッシング詐欺に対する意識を高める。
  • -脅威インテリジェンスを活用し、最新の脅威動向を把握する。

組織は、これらの対策を講じることで、「二重払い」フィッシング詐欺を含む様々なサイバー攻撃から身を守ることができます。

この記事をシェア:
← 新しい記事
進化するAIマルウェア「PromptFlux」:Googleの研究者が明らかにした次世代の脅威
古い記事 →
クラウドアイデンティティが最大のリスク源に、ReliaQuestが2025年Q3レポートで警告

関連記事

船舶データ悪用

イラン関連ハッカー集団、ミサイル攻撃前に船舶AISデータをマッピング

イランに関連するハッカー集団が、船舶の自動識別システム(AIS)データを標的としたサイバー攻撃を行い、その数日後には、実際にミサイル攻撃が試みられていたことが明らかになりました。

2025-11-28

Akiraランサムウェア

Akiraランサムウェア、2億4400万ドル以上の不正収益を上げ、Nutanix VMを標的に

Akiraランサムウェアグループが、SonicWallの脆弱性を悪用し、Nutanix AHV仮想マシンを暗号化する新たな攻撃手法を展開。2億4400万ドル以上の不正収益を上げている。

2025-11-26

KONNI、Find Hub悪用

北朝鮮APT、Find Hub悪用でAndroid端末をリモートワイプ:心理的偽装と技術的狡猾さ

北朝鮮関連のAPTグループKONNIが、GoogleのFind Hub機能を悪用し、Android端末をリモートワイプする攻撃が確認されました。心理的偽装と技術的狡猾さを組み合わせた高度な攻撃手法が用いられています。

2025-11-24