パート1：Cloudflare Workersを利用したフィッシング攻撃

サイバーセキュリティ研究者は、Cloudflare Workers を利用してユーザーの認証情報を収集する複数のフィッシング キャンペーンについて警告しています。これらのフィッシング サイトは、Microsoft、Gmail、Yahoo!、cPanel Webmail などのサービスのユーザーをターゲットにしています。

ここで、攻撃者は「中間者攻撃」 （ AitM ）と呼ばれる手法を使用しました。攻撃者は攻撃を実行するために、Cloudflare Workers を偽の中間サーバーとして使用します。ユーザーが正当なログイン ページにアクセスすると、Cloudflare Workers がユーザーと実際のログイン ページ間のデータを傍受して転送します。

基本的に、この攻撃は次の 4 つのステップで実行されます。

• ステップ1：ハッカーがユーザーにフィッシングメールを送信する

攻撃者は偽の Web サイトへのリンクを含むフィッシング メールを送信します。この電子メールは信頼できるソースを偽装しており、ユーザーにリンクをクリックするよう誘導するメッセージが含まれている可能性があります。

• ステップ2: ユーザーがメールをクリックすると、Cloudflare経由でフィッシングサイトにリダイレクトされます。

ユーザーはメールを受信し、メール内のリンクをクリックすると偽の Web サイトに移動します。このサイトは Cloudflare Workers でホストされているため、ユーザー リクエストは Cloudflare Workers を経由します。

• ステップ3: Cloudflareはユーザーのリクエストを正当なウェブサイトに転送します

ユーザーが偽のサイトにログイン情報を入力すると、Cloudflare Workers はログイン情報 (ユーザー名、パスワード、該当する場合は 2 要素認証コードを含む) を取得します。 Cloudflare Workers はこのリクエストを正当な Web サイトに転送します。ユーザーは違いに気付かずに、正規の Web サイトにログインすることができます。

• ステップ4：Cloudflareはユーザー情報を記録し、ハッカーに送信する

Cloudflare Workers はユーザーのログイン情報を記録し、攻撃者に送信します。攻撃者はこの情報を使用してユーザーのアカウントにアクセスし、悪意のあるアクションを実行することができます。

パート2: HTML密輸技術と認証情報収集戦略

HTML スマグリングは、攻撃者がユーザーのブラウザ上に不正なページを密かに作成するために使用する高度な攻撃方法です。

基本的に、HTML スマグリング攻撃は次の 5 つの主なステップで実行されます。

• ステップ1：攻撃者がフィッシングメールを送信する

攻撃者は、被害者が定期的に使用する組織やサービスなどの信頼できるソースからのメールを装ってフィッシング メールを作成します。この電子メールには悪意のあるリンクまたは HTML 添付ファイルが含まれています。電子メールの内容には、ロックされたアカウントに関する通知やすぐに確認する必要がある重要な文書など、被害者にリンクや添付ファイルを開かせることを目的とした説得力のあるメッセージや緊急のメッセージが含まれることがよくあります。

• ステップ2: ユーザーがメールを受信し、リンク/添付ファイルを開く

ユーザーはフィッシングメールを受信し、疑わずにリンクをクリックしたり、HTML 添付ファイルを開いたりします。そうすることで、ユーザーのブラウザは HTML ファイルまたはリンクに含まれる悪意のある JavaScript コードを読み込んで実行します。このコードは、追加のソフトウェアをダウンロードする必要なく、ユーザーのブラウザで直接動作するように設計されています。

• ステップ3: JavaScriptコードがユーザーのブラウザ上にフィッシングページを作成する

悪意のある JavaScript コードはフィッシング ページを自動的に生成し、ユーザーのブラウザに表示します。このフィッシング ページは、多くの場合、Microsoft、Gmail、または被害者が通常使用するその他のオンライン サービスの正規のログイン ページと非常によく似ています。これにより、被害者は偽のサイトにいることに気付かなくなります。

• ステップ4: ユーザーがフィッシングサイトにログイン情報を入力する

ユーザーは何も疑わずに、フィッシングサイトにログイン資格情報を入力します。これには、ユーザー名、パスワード、および必要に応じて 2 要素認証 (MFA) コードが含まれます。詐欺サイトは、このすべての情報を秘密裏に記録するように設計されています。

• ステップ5: ログイン情報がハッカーのサーバーに送信される

ユーザーがフィッシング ページにログイン情報を入力すると、悪意のある JavaScript コードによってこの情報がハッカーのサーバーに送信されます。これにより、攻撃者はユーザー名、パスワード、2 要素認証コードなど、被害者のログイン資格情報を収集できるようになります。この情報を使用して、攻撃者は被害者のアカウントに不正にアクセスできるようになります。

パート3：予防措置に関するユーザー推奨事項

前述のようにますます巧妙化するサイバー攻撃から身を守るために、ユーザーはリスクを最小限に抑えるための予防策を講じる必要があります。以下に重要な推奨事項をいくつか示します。

• サイバーセキュリティの意識向上

今日のデジタル環境では、サイバー攻撃の手法は常に進化し、ますます巧妙化しています。したがって、最新のサイバーセキュリティの脅威に関する知識を定期的に更新することが非常に重要です。ユーザーは、リスクを理解し、リスクを防ぐ方法を知るために、信頼できる最新の情報源を積極的に監視する必要があります。

• 2要素認証（2FA）を使用する:

2 要素認証により、セキュリティがさらに強化されます。攻撃者がログイン情報を入手したとしても、アカウントにアクセスするには 2 番目の認証コードが必要になります。

• 行動を起こす前に必ず確認し、検証する

クリックする前に、すべての添付ファイルとリンクを再確認してください。

クリックする前によく考えてください!!!

• ウイルス対策ソフトウェアを使用する

ウイルス対策ソフトウェアは、ウイルス、トロイの木馬、ランサムウェア、スパイウェア、その他の脅威など、さまざまな種類のマルウェアをスキャンして検出することができます。検出されると、マルウェアを削除または隔離してシステムを保護します。

今日のデジタル時代では、サイバー攻撃はより巧妙化し、検出が困難になっています。 Cloudflare Workers と HTML Smuggling を使用するフィッシング キャンペーンを理解し、防御することが重要です。ユーザーは、自分自身を守るために、サイバーセキュリティに関する知識を定期的に更新し、パスワード マネージャーを使用し、ウイルス対策ソフトウェアをインストールし、2 要素認証を適用する必要があります。これらの対策は、個人情報の保護に役立つだけでなく、コミュニティ全体のサイバーセキュリティの向上にも貢献します。

— 総合安全保障部 —