Disclaimer: For the benefit our Japanese readers the original article has been translated using AI-Services, if there are any linguistic errors please help us improve by writing to us or commenting on this blog.

025年4月から5月にかけて、Ravenは巧妙なフィッシングキャンペーンを発見しました。この攻撃では、信頼されたドメインを偽装するのではなく、実際に使用していました。

複数波にわたるこのフィッシングキャンペーンでは、日本の有名なISPであるNifty.comの正規インフラが悪用され、信頼されたビジネスワークフローを装って資格情報を収集していました。Ravenは、ヘッダーが正常で、認証も有効で、明らかな警告サインがないにもかかわらず、この攻撃を検出しました。

回避を目的としたキャンペーンの構築

攻撃者はドメインを偽装するのではなく、正規に使用していました。

彼らは、日本の有名なISPであるnifty.comで無料アカウントを登録し、そのインフラから直接フィッシングメールを送信しました。これらは実際のアカウントであったため、すべての認証レイヤーを通過しました

  • SPF:✅ 合格

  • DKIM:✅ 合格

  • DMARC:✅ 整合

これだけでも、これらのチェックに大きく依存する多くのセキュアメールゲートウェイ(SEG)を回避するのに十分でした。

キャンペーンのタイムライン:複数波、適応的な行動

日付
主な活動
4月28日
第1波:実行契約の誘引
5月7日
同じテーマでのフォローアップ波
5月16日
SAFE契約のバリアントが導入
5月23日
高ボリュームのバースト:1分未満で数十通のメール送信

この繰り返しとタイミングは、自動化とフィッシングキットによるオーケストレーションの可能性を示唆しています。

Nifty Phishing
Nifty Phishing 2


キャンペーンの構造

1. 使用されたインフラ

  • ドメイン:nifty[.]com(正規の日本のISP)

  • メールサーバー:mta-snd-e0X.mail.nifty[.]com

  • IPレンジ:106.153.226.0/24、106.153.227.0/24

  • 送信者アカウント:ビジネスを装った無料の消費者アドレス

2. ペイロードと配信方法

  • メール本文にリンクなし

  • 悪意のある添付ファイル:

    • ファイルタイプ:.pdfおよび.html

    • ファイル名例:SAFE_Terms_May2025.pdf、Execution_Agreement.html

  • リダイレクトチェーン(サニタイズ済み):

    • clickme[.]thryv[.]com → 一見無害なマーケティングトラッカー

    • 2vf78gnafutdc5zqmhng[.]iqmwpx[.]ru → 難読化されたJavaScriptを含むフィッシングサイト

    • URLフラグメントに埋め込まれたメール(例:#[email protected])でトラッキング

3. 検出回避を目的とした技術

  • HTMLパディング:フィルターを回避するための空白文字(=20、 )の使用

  • マルチパートMIME構造:添付ファイルにペイロードを隠す

  • 表示名の偽装:正当性を示唆する「Name via DocuSign」などの例

  • 難読化されたリンク:明らかに悪意のあるURLではないリダイレクター

  • 完璧な文法とトーン:AI生成またはフィッシングキットテンプレートの可能性

4. Ravenによってフラグされた行動指標

  • 異常な送信者と受信者の組み合わせ

  • 受信者全体で繰り返される契約関連の誘引

  • 表示名でのブランドの偽装

  • キャンペーン全体で同一の添付ファイルパターン

  • フラグされたインフラに導く難読化されたリダイレクトチェーン

脅威の分類

  • ベクター:認証されたNifty.comのメールインフラの悪用

  • 攻撃タイプ:ファイル添付を介して配信されるリダイレクトベースのフィッシング

  • 意図:資格情報の収集(Gmailセッション/トークンの盗難を含む)

  • 洗練度:中〜高 — 回避技術とインフラのブレンディングの使用

  • 帰属信号:フィッシングキットの使用の可能性、自動化またはAI生成コンテンツの兆候

多くの防御が見逃した理由

従来のメールセキュリティは以下に依存することが多い:

  • SPF/DKIMの失敗

  • ブラックリストに登録されたドメイン

  • 本文中の疑わしいURL

  • メールヘッダーからの行動トリガー

このキャンペーンにはこれらの要素がありませんでした。

Ravenの推奨事項

この種の攻撃に対抗するには、基本的な衛生管理を超える必要があります:

推奨事項
重要な理由
無料ドメインの未知の送信者をフラグする
技術的に有効であっても
すべての添付ファイルをサンドボックス化する
ペイロードはファイル内容内に存在することが多い
表示名とMIME構造を検査する
真の偽装はここで発生することが多い
文脈のないドキュメントの誘引に注意する
特に実行契約、SAFE、または株式契約の場合
認証を盲目的に信頼しない
SPF/DKIMの合格 ≠ 安全なコンテンツ

無料トライアルをお試しください

Ravenは、従来のシグナルを超えて行動分析を行い、送信者の進化するセキュリティ姿勢を組み込んだ最新のAIを搭載しています。30日間の無料トライアルをご希望の方は、以下の連絡フォームにご記入ください。