AccountDumplingフィッシングキャンペーン

ベトナム関連の脅威グループによるものとみられる大規模なサイバー犯罪キャンペーン「AccountDumpling」が、Google AppSheetをフィッシングの中継メカニズムとして利用していることが明らかになった。この作戦は、Facebookアカウント、特にビジネスユーザーのアカウントを侵害することを主な目的として、偽のメールを配信している。

従来のフィッシング攻撃とは異なり、これは静的なツールキットではなく、動的かつ継続的に進化するエコシステムです。リアルタイムのオペレーターダッシュボード、高度な回避技術、そして構造化された収益化パイプラインが組み込まれています。盗まれたアカウントは攻撃者が管理する闇市場に送り込まれ、自己完結型の犯罪ループが形成されます。この攻撃キャンペーンの一環として、約3万件のFacebookアカウントが侵害されました。

武器化された信頼：Google AppSheetを悪用したメール配信

攻撃は、Meta Supportを装った巧妙に作成されたフィッシングメールから始まります。これらのメールはFacebookビジネスアカウントの所有者を標的とし、直ちに対応しなければアカウントが削除されると警告します。被害者は、メールに埋め込まれたリンクから異議申し立てを行うよう促されます。

キャンペーンの効果を高める重要な要素の一つは、正規のインフラストラクチャを活用している点です。メールはGoogle AppSheetのアドレス（「noreply@appsheet.com」）から送信されるため、従来のスパムフィルターやセキュリティフィルターを回避できます。この手法は信頼性を高め、ユーザーのエンゲージメントを高める可能性を向上させます。

これらのメッセージに込められた切迫感は、受信者を機密情報を盗み出すために設計された不正なウェブサイトへと誘導する。同様の攻撃パターンは過去のキャンペーンでも確認されており、成功した手法が継続的に改良され、再利用されていることを示している。

心理操作：メタパニックのエンジニアリング

攻撃者は、パニックを引き起こし、ユーザーに迅速な対応を促すために、さまざまなソーシャルエンジニアリングの手法を用います。これらの手法は、正規のMeta通信を模倣し、恐怖心を煽るような状況を悪用するように戦略的に設計されています。

主なルアーの種類は以下のとおりです。

アカウント関連の脅威：アカウント停止、著作権侵害、または緊急の本人確認要求の申し立て
セキュリティアラート：不審なログインや必須のセキュリティチェックに関する通知
ビジネスおよびステータスに関するインセンティブ：ブルーバッジ認証の提供、または幹部採用の機会
企業なりすまし：有名ブランドを装った偽の求人情報で信頼を築き、エンゲージメントを高める

それぞれの誘い文句は、ユーザーの行動を操作し、認証情報の漏洩の可能性を高めるように巧妙に設計されている。

マルチチャネル・フィッシング・インフラストラクチャ：多様な配信メカニズム

このキャンペーンの特徴は、複数のホスティングプラットフォームと配信方法を使用していることであり、それぞれがデータ収集とデータ流出において特定の役割を果たしている。主な攻撃クラスターは以下の4つである。

• Netlifyでホストされているフィッシングページ：ログイン認証情報、個人データ、政府発行の身分証明書を盗み取るために設計された偽のFacebookヘルプセンターポータル。収集されたデータは、攻撃者が管理するTelegramチャンネルに送信されます。
• Vercelがホストする「セキュリティチェック」ページ：これらのページは、Metaのプライバシーまたはセキュリティポータルを模倣しており、偽のCAPTCHA認証が含まれています。被害者は認証情報の再入力と二要素認証（2FA）コードの入力を求められ、それらはすべてリアルタイムで外部に流出します。
• GoogleドライブにホストされたPDFによる詐欺：公式の確認手順を装ったこれらの文書は、埋め込みスクリプトを使用してパスワード、2段階認証コード、身分証明書の写真、さらにはブラウザのスクリーンショットまで収集するフィッシングページにユーザーを誘導します。
• 偽の採用ワークフロー：大手企業になりすまして信頼性を確立し、その後、悪意のあるプラットフォームに誘導して、さらなるやり取りやデータ収集を行う。

これらのクラスターに関連するTelegramチャンネルには、合計で約3万件の被害者記録が含まれています。影響を受けた人々は主に北米、ヨーロッパ、アジア、オーストラリアに居住しており、その多くがアカウントへのアクセスを失っています。

アトリビューション分析：キャンペーンの背後にいる人物を特定する

無料のCanvaアカウントで生成されたフィッシングPDFに埋め込まれたメタデータから、犯人特定のための重要な証拠が得られた。ファイルには「PHẠM TÀI TÂN」という名前が作成者として記載されており、この作戦の責任者と思われる人物への直接的な手がかりとなる。

さらなるオープンソース情報分析により、デジタルマーケティングサービスを宣伝するウェブサイト「phamtaitan.vn」が発見された。この組織に関連する公式声明からは、マーケティングリソースと戦略コンサルティングに重点を置いていることが示されており、合法的な目的と悪用的な目的の両方に悪用される可能性のある、二重用途のスキルセットを有していることが示唆される。

地下経済：侵害されたデジタルIDの収益化

このキャンペーンは、サイバー犯罪におけるより広範な傾向、すなわちデジタルアイデンティティの商品化を如実に示している。侵害されたFacebookアカウントは単なるエンドポイントではなく、活況を呈する闇市場における貴重な資産となっているのだ。

攻撃者は、ビジネス上の提携関係、広告履歴、復旧可能性といった要素に基づいてアカウントへのアクセス権を取引する。今回の作戦は、Google AppSheet、Netlify、Vercelなどの信頼できるプラットフォームが、配信、ホスティング、収益化のためのインフラストラクチャ層として再利用されている現状を如実に示している。

AccountDumplingキャンペーンは、現代の脅威アクターがソーシャルエンジニアリング、クラウドサービス、そして地下経済を統合し、まとまりのある拡張性の高いサイバー犯罪組織を構築する方法を明確に示す事例である。