多要素認証を導入したからといって安心できる時代ではなくなった。設定ミスで外部公開された攻撃者のサーバを解析したところ、GitHubで入手できるコードと安価なクラウドサービスを組み合わせるだけで、高度なフィッシング基盤を構築していた実態が判明したという。
この記事は会員限定です。会員登録(無料)すると全てご覧いただけます。
セキュリティ企業のLexfoは2026年7月13日(現地時間)、設定ミスによって外部公開されていた攻撃者のサーバを解析し、稼働中だった3つのフィッシング活動と、それぞれを運営する別個の攻撃者を特定したと発表した。
公開状態だったサーバにはフィッシング設定や認証情報収集ログ、RMM(Remote Monitoring and Management)関連ファイル、コンボリスト(ユーザーID/パスワードの組み合わせを一覧化したもの)、「Telegram」セッションなどが保存されており、攻撃基盤の内部構成や運用実態が広範囲にわたって露出していたという。
調査対象のサーバはブダペスト所在のVPS(Virtual Private Server:仮想専用サーバ)で、PythonのHTTPサーバがディレクトリ一覧表示を有効にしたままインターネットに公開されていた。公開領域には「.bash_history」や「Evilginx」関連ディレクトリ、各種バックアップ、ツール群などが残されており、運用中のAiTM(中間者:Adversary-in-the-Middle)型フィッシング基盤や「SimpleHelp」の管理環境を確認できた。
Lexfoはサーバ内のデータを解析し、攻撃者「codemado」「mail-argenta」「saroula01」の3者を識別した。3者は公開「GitHub」リポジトリ由来の「Evilginx」派生版という共通のコード基盤を利用していたものの、それぞれ独立して活動しており、標的や運用基盤にも違いがあったとしている。
codemadoについては、「.bash_history」、GitHubリポジトリ、Telegramセッション、公開資料など複数の痕跡から、エジプトとの関連を示す情報を確認した。2018年ごろからハッキング関連コミュニティーで活動していた形跡があり、「Microsoft 365」を標的とするAiTM環境に加え、独自の大量送信ツール「MaDoO Blaster」を運営していた。
サーバには複数のEvilginx派生版の他、「ScreenConnect」「SimpleHelp」「SuperOps RMM」「GetScreen」「XEOX RMM」などの遠隔管理ツールや、「PowerShell」「VBScript」のドロッパー、認証情報窃取プログラムなども保存されていた。「Cloudflare Tunnel」も導入され、通信経路の秘匿化が図られていた。
MaDoO Blasterは「Microsoft Entra」を利用した電子メール送信やメールテンプレート生成、添付ファイル作成、QRコード埋め込み、HTML本文の画像化など多様な機能を備えていた。利用方法はTelegramで公開されており、第三者への提供を前提としていた可能性があるという。
mail-argentaは複数サービス向けのフィッシング基盤をGitHubで公開していた。Microsoft 365、GitHub、暗号資産取引所「Kraken」、SNS「LinkedIn」などを標的とした派生版や管理パネルを整備し、ソースコードにはTelegram設定や「MySQL」の認証情報も残されていた。Lexfoは漏えいした認証情報との照合から、ナイジェリアとの関連を示す情報を得たとしている。
一方、saroula01はMicrosoft 365の「Device Code Flow」を悪用するEvilginx派生版「black-queen」の開発者とみられている。Device Code Flowは正規の認証機能だが、利用者を正規の認証ページに誘導してデバイスコードを入力させることで、攻撃者が認証済みアクセストークンを取得できる。black-queenにはWeb管理画面やCookie生成機能、「Microsoft Graph API」を利用したメールボックス閲覧機能なども追加されていた。
「Git」の履歴からは削除済みの設定ファイルやトークン情報も復元され、「romnor.ca」配下の複数サブドメインを利用した運営実態が判明した。TelegramのbotやVPS情報も含まれており、2025年6月以降も活動が継続していたことを示す記録が残されていた。
codemadoは「picis.net」配下に多数のサブドメインを構築し、「Microsoft Office」「Microsoft OneDrive」「Microsoft Authenticator」「Adobe」「DocuSign」「SharePoint」を装ったフィッシングページを運用していた。「Cloudflare Tunnel」や「Node.js」製フィルターも利用し、自動解析を妨害する対策も講じていた。
mail-argentaはKrakenを中心に複数サービスを標的とする活動を展開し、LinkedInや恋活・婚活マッチングサイト「eHarmony」を狙う環境も確認された。公開状態だったCookieや設定情報から、運用状況の一部を把握できたという。
saroula01は3者の中で最も長期間活動しており、Lexfoは218件の被害者を確認した。被害者の約94%は企業利用者で、英国、オーストラリア、米国、スペイン、ポーランド、カナダなど幅広い地域に及んでいた。Git履歴には97件のMicrosoft OAuthトークン情報も残され、自動更新設定も確認された。
Lexfoは3者を単一の組織とは判断していない。公開GitHubリポジトリ由来のコード基盤という技術的な共通点はあるものの、活動基盤や標的、運用手法はそれぞれ独立していたと結論付けた。
また、「SOCRadar」が報告した「The Quarry」エコシステムとの接点も確認した。MaDoO Blasterは関連チャネルで紹介されており、「RockyBelling」が運営するサービス群との関連が認められた。一方で、mail-argentaとsaroula01については直接的な関係は確認できなかった。
Lexfoは、公開GitHubリポジトリや安価なクラウドサービスを組み合わせるだけで、AiTMによる多要素認証突破や、Device Code Flowを悪用して認証済みトークンを取得する攻撃基盤を比較的容易に構築できる状況になっていると指摘した。その上で、こうした攻撃を前提とした検知・監視体制やインシデント対応体制の強化が必要だとまとめている。
PHP利用者は見逃し厳禁 TLS通信でサービス停止を招くHigh脆弱性を修正
Linuxカーネルに15年潜伏した脆弱性が見つかる 攻撃成功率は97%
企業が見直すべき「脅威像」〜国家ハッカーが“あえてAIに全てを任せない”理由〜
悪用成功率99%、Linuxカーネルに新ゼロデイ「Bad Epoll」が見つかる
KDDIの最大1422万件の情報漏えい事件 その裏には陸自USB問題と同様に中国の影?Copyright © ITmedia, Inc. All Rights Reserved.
編集部からのお知らせ