Morphing Meerkatフィッシングキットに関する脅威と攻撃戦術の分析
2025年4月22日
著者: Milena Baghdasaryan
翻訳: 古川 綾乃
この記事はPowerDMARCのブログ記事 Morphing Meerkat Phishing Kit: A Deep Dive into Its Threats & Tacticsの翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
Morphing MeerkatはPhaaS(Phishing as a Service)型のプラットフォームです。
すでに100を超えるブランドがなりすましの対象となり、数千通のフィッシングメールが送信されています。
本プラットフォームはDNSのMXレコードを悪用して従来の防御策を回避しており、サイバー犯罪の手法における大きな転換点といえます。
Infobloxは、Morphing Meerkatによって数千通のフィッシングメールが送信され、世界中の企業に深刻な脅威をもたらしていると報告しています。
これらの攻撃は規模・巧妙さの両面で深刻化しており、迅速な対応が不可欠です。
主なポイント
- 「Morphing Meerkat」フィッシングキットは、最近100以上のブランドを装った攻撃に使用されています。
- 攻撃者は1,000通以上のフィッシングメールを送信しており、攻撃が世界規模で展開されていることが確認されています。
- この攻撃は、データの窃取、業務の混乱、評判の失墜を引き起こす可能性があります。
- 適切なメール認証を実装することで、こうした脅威への対策が可能です。
Morphing Meerkatフィッシングキットとは?
Morphing Meerkatフィッシングキットとは、攻撃者が一見正規に見える不正なWebサイトを作成するためのツール群です。
これらのサイトは、ユーザを騙して機密情報を開示させ、データや金銭を盗むことを目的としています。
フィッシングキットにはHTMLやPHPコードが含まれており、初心者の攻撃者でも容易に作成・使用できます。高度な技術的スキルはほとんど求められません。
これらのキットには、あらかじめ用意されたメールテンプレートや、利用者を欺くログインページが含まれています。
さらに、ユーザにパスワードや支払い情報を入力させるための追加要素も備えています。
「Morphing Meerkat」フィッシングキットは、MXレコードを悪用して正規ブランドを装い、利用者の認証情報を窃取します。
Infobloxの脅威インテリジェンスによると、「この攻撃手法は攻撃者にとって有利である」とされています。
背景には、メールサービスプロバイダに関連するWebコンテンツを表示できる点があります。
これにより、被害者のメールプロバイダに合わせたフィッシングページを使用して、標的型攻撃が可能になります。
このフィッシングプロセスでは、ランディングページのデザインがフィッシングメールの内容と一致しているため、正規のもののように見えます。
この手法によって、攻撃者は被害者を騙し、フィッシングWebフォームを通じてメール認証情報を入力させることができます。
Morphing Meerkatフィッシング攻撃の仕組み
この攻撃では、攻撃者が既存のメール設定を悪用し、表示されるコンテンツを動的にカスタマイズします。
攻撃者は認証情報を窃取することで、企業ネットワークへの不正侵入を可能にします。
その結果、クレジットカード情報や社内の機密通信など、重要な業務データへのアクセスが可能になります。
このツールキットは、DNSのMXレコードを利用して偽のログインページを生成し、そこから認証情報を窃取します。
具体的には、まず被害者に悪意のあるフィッシングリンクをクリックさせます。
次に、フィッシングキットが被害者のメールドメインのMXレコードを参照し、利用しているメールサービスプロバイダを特定します。
そして、被害者のメールプロバイダを模倣した偽のログインページを表示します。
Morphing Meerkat攻撃では、主にメールユーザのログイン認証情報が標的とされています。
これは当初からの主要な標的であり、攻撃の手法が進化してもターゲットは変わっていません。
フィッシングメッセージには、侵害されたWordPressのWebサイトがよく使用されます。
さらに、Google傘下のDoubleClickを含む複数の広告プラットフォームに存在するオープンリダイレクトの脆弱性も悪用されます。
これにより、セキュリティフィルターを容易かつ効果的に回避することが可能になります。
組織への影響
以下は、このツールキットが組織に与える可能性のある影響です。
絶え間ない攻撃の進化
このフィッシングキットは継続的に進化しており、組織にとって脅威が年々増大しています。
Morphing Meerkatの最初のキャンペーンは2020年に検出されました。
当時は深刻な脅威とまでは認識されていませんでしたが、初期バージョンではGmail、Outlook、AOL、Office 365、Yahooを装ったフィッシング用Webテンプレートを表示するのみでした。
また、翻訳機能は備えておらず、対応言語は英語に限られていました。
しかし現在では、114以上のブランドデザインに対応しています。
2023年7月時点ですでに、参照されたDNSのMXレコードに基づいて、適切なフィッシングページを動的に読み込む仕組みが実装されていました。
現在では多言語のフィッシングページが展開されており、対応言語にはスペイン語、ロシア語、英語、中国語、日本語、韓国語、ドイツ語などが含まれています。
検出と対処が困難
従来の多くの脅威と比べて、このツールキットは多数の回避機能を活用しています。
例えば、攻撃者はアドテクサーバ上のオープンリダイレクトを多用し、さらにコードを難読化することで分析を妨害します。
加えて、フィッシングのランディングページには分析妨害のための対策も施されています。
これにより、マウスの右クリックや「Ctrl + S」「Ctrl + U」などのキーボードショートカットの使用が制限されます。
「Ctrl + S」はページの保存、「Ctrl + U」はソースコードの表示に使われます。
これら一連の対策により、調査や分析が困難になり、結果として攻撃の成功率が高まります。
データ窃取の入り口
メールの認証情報が窃取されると、攻撃者はそれを足掛かりに企業ネットワークへ侵入する可能性があります。
その結果、本来はアクセスできないデータへの不正アクセスが可能になります。
個人情報、企業の機密情報、財務情報などが対象となり、データ窃取の影響は重大です。
評判への悪影響
攻撃者が認証情報を入手した場合、Telegramなどのプラットフォームを通じて流通させることがあります。
このため、データ窃取に加えて、機密情報がさまざまなチャネルで不正に拡散される可能性があります。
これにより、評判の大きな損失や顧客からの信頼喪失を招くおそれがあります。
業務の混乱
このツールキットは、個別の企業だけでなく、複数の組織全体を同時に標的にすることが可能です。
その結果、業務全体のワークフローが混乱し、単一の企業にとどまらず、数十社規模に影響が及ぶ可能性があります。
業務の混乱に加え、世界的な財務損失にもつながる可能性があります。
Morphing Meerkatフィッシングの検出および対策戦略
このフィッシング攻撃を行う攻撃者は、検出を回避するための巧妙な仕組みを備えています。
ログインに失敗した場合、このキットは被害者を正規のメールサービスプロバイダのログインページへリダイレクトします。
このようなタイプの攻撃を検出・対策するのは非常に困難ですが、それでも実施可能な対策があります。
1.メール認証プロトコルの活用
メール認証を導入し、SPF、DKIM、DMARCといったプロトコルを活用することが重要です。
これらはメールの認証を支援し、なりすまし攻撃の成功率を低下させます。
DMARC、DKIM、SPFは連携して機能し、正規の送信者だけが自ドメインを使ってメールを送信できるようにします。
これにより、攻撃者によるなりすましを防止しやすくなります。
これらのプロトコルは連携して機能し、正規の送信者のみが自ドメインを利用できるようにすることで、なりすまし攻撃を防止します。
DMARC、DKIM、SPFは連携して機能し、正規の送信者だけが自ドメインを使ってメールを送信できるようにします。
これにより、攻撃者によるなりすましを防止しやすくなります。
2.AIによる脅威検出
AIを活用したソリューションを用いれば、データが盗まれる前にフィッシング試行を検出できます。
これらのツールは挙動やパターンを分析し、メール通信に関する有用な情報を提供します。
PowerDMARCのAI搭載DMARC脅威インテリジェンスは、なりすましやフィッシングの試みをリアルタイムで可視化します。
どのIPアドレスがなりすましを試みたかを可視化し、注意喚起を促します。
3.DNSフィルタリングと監視
DNSフィルタリングを活用し、疑わしいドメインやDoHプロバイダ(Cloudflare、Googleなど)との通信を遮断します。
これらはMorphing MeerkatがMXレコードに基づいたフィッシングページを生成する際によく使用されます。
併せてDNSトラフィックを監視し、不審なクエリや異常な挙動がないかを確認することが重要です。
4.多要素認証(MFA)
すべての重要なアカウントに対してMFA(多要素認証)を要求することで、もう1段階のセキュリティを追加できます。
攻撃者が認証情報を入手していても、2つ目の認証要素がなければアカウントへアクセスすることはできません。
まとめ
Morphing Meerkatフィッシングキットは、世界中の企業にとって深刻なリスクをもたらします。
その手法や戦略は進化を続け、より巧妙かつ高度になっています。
その結果、データ損失、業務の混乱、財務的損害、そして評判の悪化といった重大な被害をもたらす可能性があります。
一方で、これらを検出・防止するための対策も確立されています。
MFA、DNSフィルタリング、AIによる脅威検出は、デジタル空間における備えとして有効です。
メール認証プロトコルの導入も、メール通信の保護とセキュリティ強化に貢献します。
Morphing Meerkatのような進化する脅威に備えるためにも、定期的なセキュリティ監査の実施が重要です。