ドワンゴ情報漏洩事件で生じた「サイバー野次馬」問題とは？piyokango氏が語る見慣れた脅威の変化

情報がどう悪用されるか分からない今、特に注視すべきソーシャルエンジニアリングの脅威は

　ソーシャルエンジニアリング（とりわけフィッシング攻撃）に関しては、新たな脅威として以下6つが挙げられた。これらの脅威は、2025年に入ってから注目を集めるようになってきたものだ。

• ClickFix（クリックフィックス）：CAPTCHA認証を行うなどと謳い、実際には不正なコードを実行する手順を表示し、標的の端末をインフォスティーラーに感染させる手口
• 監視のすり抜けを狙うフィッシング：SVG画像への不正コード埋め込みやPDF注釈へのフィッシングサイトURL埋め込みなど、監視のすり抜けを狙いフィッシングサイトへ誘導する手口
• 精密検証型フィッシング：入力されたメールアドレスをリアルタイムで検証し、特定の標的に絞ってフィッシングサイトへ誘導する手口
• クイッシング（QRコードフィッシング）：ハイパーリンクを記載する代わりにQRコードを使用し、標的にスキャンさせフィッシングサイトへ誘導する手口
• ヴィッシング（音声フィッシング）：金融機関の関係者などになりすまして標的に電話をかけ、攻撃に必要な情報を聞き出しフィッシングサイトへ誘導する手口
• デバイスコード認証フィッシング：入力制約のある環境でログイン時に利用するデバイスコード認証を狙い、フィッシングサイトへ誘導する手口

　なかでもpiyokango氏は、ClickFixについて「非常にシンプルでありながら被害報告も多く観測される攻撃手法であるため、皆さんにも知っていただきたい」と語る。たとえば、Webサイトに表示された「ロボットではないことを証明するための3ステップ」などに従い、ユーザーがキーボード操作を行うことで、クリップボードにコピーされた悪性コードを無意識のうちに実行させてしまう。

　また、「インフォスティーラーに分類されるマルウェア攻撃は、手法の巧妙化に対して企業の対策が追いついていないという点で危機感を覚えている」とpiyokango氏。インフォスティーラーは認可情報などを盗み出すためのウイルスソフトであり、機器の中に侵入したあとも影を潜め続ける。パソコンの起動が遅くなったり、「ウイルスに感染しました」といった文言が表示されたりするわけでもないため、感染した事実に気づきにくい。

　そして盗まれた情報は、前頁で触れたリークサイトなどをはじめとする、不正アクセス情報を売買するマーケットに売却されてしまう可能性がある。その場合、一度情報の買い取りといったフェーズを挟むため、悪用されるまでに時間差が生じる。そうすると、企業でセキュリティインシデントが発生しても原因を特定することが難しくなってしまうのだ。

　「以前からインフォスティーラー関連の攻撃は存在していましたが、“盗まれた情報がどこでどう悪用されるかが分からない”今、より注視しなければいけない脅威のひとつです」（piyokango氏）