チェック・ポイント・リサーチ、AI搭載を謳うインフォスティーラー「Rhadamanthys」を使用した最新の大規模フィッシング攻撃を確認

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
2024年11月25日

チェック・ポイント・ソフトウェア・テクノロジーズ株式会社
AIを活用したクラウド型サイバーセキュリティプラットフォームのプロバイダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、 NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、インフォスティーラー「Rhadamanthys」の最新バージョン「Rhadamanthys 0.7」を使用した大規模フィッシング攻撃を確認しました。

要約：
- 「CopyRh(ight)adamantys」と呼ばれるフィッシング詐欺は、著作権違反と偽って個人や組織を標的にします。
- 攻撃者は専用のGmailアカウントを作成し、実在する企業になりすまして、個人のSNSアカウントで著作権違反があったとする虚偽の通知メールを送信します。
- この攻撃は世界各地の様々な業界で確認されており、なりすましの対象となった企業の約70%はエンターテインメント、メディア、テクノロジー、ソフトウェア分野に集中しています。
- CopyRh(ight)adamantysは国家の支援を受けた組織ではなく、金銭目的のサイバー犯罪グループによるものである可能性が高いとされています。この結論は、攻撃の手口や標的範囲の広さによって裏付けられています。

Rhadamanthysは、感染先の情報を窃取する高度なマルウェアです。攻撃者は実在するさまざまな企業になりすまし、個人のFacebookページで著作権違反を犯したと虚偽の通告をします。攻撃者は有名企業を装った偽のGmailアカウントを使用し、各標的に合わせてメールアドレスや文章を変えています。

このフィッシング詐欺と攻撃者が用いた戦術、Rhadamanthysの最新バージョンのアップデート内容について詳細を説明します。

チェック・ポイント・リサーチによるRhadamanthysの追跡調査
CPRは今年1年間、Rhadamanthysを使用するさまざまな脅威アクターの活動を監視してきました。特に注目すべきは、イスラエルやアルバニアなどの地域で活動するイランのグループ、Void Manticoreによるツールの使用です。Void Manticoreと関連するハクティビスト集団、Handalaが関係する事例では、Rhadamanthysがソフトウェアアップデートを装って配布されていました。

2024年7月、CPRはRhadamanthysのアップデート版であるRhadamanthys 0.7を使用した新たなサイバー攻撃を確認しました。

マルウェア攻撃
新たに発見された一連のサイバー攻撃は、Gmailアカウントを使用した標的型攻撃メールが特徴です。攻撃者は著名企業の法務担当者になりすまし、ソーシャルメディアページ上での商標やブランドの不正使用を理由に、特定の画像や動画の削除を要求してきます。画像などを削除するための手順としてファイルのダウンロードを求めてきますが、このファイルを開くと最新版のRhadamanthysがインストールされます。

著作権侵害を装った感染経路

AIの使用
Rhadamanthysの作成者は、新バージョンにAIエンジンを含む高度な機能が搭載されていると主張していますが、CPRによる調査の結果、このマルウェアは最新のAIエンジンは使用しておらず、OCR（光学的文字認識）ソフトウェアでよく使われる、かなり古典的な機械学習が使用されていることが明らかになりました。

興味深いことに、攻撃者は標的を騙すためのメールの文面や多数のGmailアカウントを作成するため、AIを活用した自動化ツールを使用していると考えられます。メールの内容は通常、受信者の母国語または英語で書かれていますが、時折間違いが見られます。例えば、イスラエルの標的に向けたメールが、ヘブライ語ではなく、誤って韓国語で書かれており、標的の氏名だけがヘブライ語表記になっていたケースがありました。

イスラエルの標的に誤って韓国語で送信されたフィッシングメール

グローバルな標的範囲
CPRがこの一連のフィッシング攻撃を調査している最中、チェック・ポイントを装った偽のメールが出回っているとの報告が寄せられました。このことから、Rhadamanthysを使用した攻撃が広がりを見せていることがわかりました。

チェック・ポイントを装ったフィッシングメール

このフィッシング攻撃は、米国、ヨーロッパ、中東、東アジア、南アメリカなど、世界規模で展開されています。しかし、現時点でCPRにより確認できているのは、チェック・ポイントユーザーへの攻撃のみとなるため、実際にはもっと大規模な攻撃が行われている可能性が高いと考えられます。

チェック・ポイントの観測データに基づく攻撃対象となった国々

このフィッシング攻撃で特に懸念されるのは、膨大な数のなりすましメールです。調査の結果、様々な組織を狙った数百件のフィッシング攻撃が確認され、それぞれのメールが異なる送信元アドレスから異なる連絡先に送られていました。なりすましの対象となった企業の約70%は、エンターテインメント、メディア、テクノロジー、ソフトウェア業界でした。これらの業界は普段からオンラインでの活動が多く、また著作権に関する連絡も日常的に行うため、偽のメールでも怪しまれにくい特徴があります。

CopyRh(ight)adamantysの裏に潜む攻撃者
Rhadamanthysは以前、国家支援型の脅威アクターと関連付けられていましたが、今回の分析では、CopyRh(ight)adamantysを実行しているのはサイバー犯罪グループである可能性が高いことを示しています。標的範囲の広さとアンダーグラウンドフォーラムで取引されているマルウェアの使用は、スパイ行為や政治的な影響力の行使ではなく、金銭的な利益が主な目的であることを示唆しています。さらに、国家が関与する攻撃は通常、政府機関や重要インフラなど、価値の高い標的を狙う傾向にありますが、今回の攻撃にはそのような特徴が見られません。

結論
今回の大規模なフィッシング攻撃の分析を通じて、著作権侵害というテーマが非常に説得力のある手口となっており、Rhadamanthysという情報窃取マルウェアを拡散する効果的な誘い文句として使われていることが明らかになりました。この攻撃で使用された手法は、フィッシング攻撃がより巧妙化している現状を浮き彫りにしており、大きな懸念となっています。

チェック・ポイントのゼロデイ攻撃対策、Harmony Endpoint、そしてHarmony Email&Collaborationを統合することで、強固なサイバー脅威対策を実現できます。これらのソリューションは、攻撃手法やファイルタイプを包括的にカバーし、高度なエンドポイントセキュリティを確保することで、組織を潜在的な侵害やデータ漏えいから効果的に保護します。悪意のあるメールに対する広範にわたるインライン保護により、企業は新たな脅威に対して万全の態勢で業務に取り組むことができます。

以下の対策により、チェック・ポイントのお客様はRhadamanthysから継続的に保護されています。

ゼロデイ攻撃対策
- InfoStealer.Wins.Rhadamanthys.ta.V
- InfoStealer.Wins.Rhadamanthys.*

Harmony Endpoint
- InfoStealer.Wins.Rhadamanthys.*

このフィッシィング攻撃の詳細な技術分析については、CPRの調査報告書をご覧ください。

本プレスリリースは、米国時間2024年11月6日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、AIを活用したクラウド型サイバーセキュリティプラットフォームのリーディングプロバイダーとして、世界各国の10万を超える組織に保護を提供しています。Check Point Software Technologiesは、積極的な防御予測とよりスマートで迅速な対応を可能にするInfinity Platformを通じ、サイバーセキュリティの効率性と正確性の向上のためにあらゆる場所でAIの力を活用しています。Infinity Platformの包括的なプラットフォームは、従業員を保護するCheck Point Harmony、クラウドを保護するCheck Point CloudGuard、ネットワークを保護するCheck Point Quantum、そして協働的なセキュリティオペレーションとサービスを可能にするCheck Point Infinity Core Servicesによって構成されます。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディアアカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://twitter.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局（合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp