Booking.com のなりすましによるフィッシング攻撃が、認証情報窃盗マルウェアを配信
日本マイクロソフト 株式会社
Booking.com のなりすましによるフィッシング攻撃が、認証情報窃盗マルウェアを配信
2025年4月3日 | Japan News Center
マイクロソフト脅威インテリジェンスコミュニティ、マイクロソフトセキュリティ専門チーム
※本ブログは、米国時間 3 月 13 日に公開された “Phishing campaign impersonates Booking .com, delivers a suite of credential-stealing malware” の抄訳を基に掲載しています。
旅行シーズンの繁忙期を前にした 2024 年 12 月に、マイクロソフトの脅威インテリジェンスは、オンライン旅行代理店の Booking.com になりすまし、ホスピタリティ業界の組織を狙ったフィッシング キャンペーンを確認しました。この攻撃は、ClickFix というソーシャル エンジニアリングの手法を使用して、複数の認証情報を盗むマルウェアを配信し、金融詐欺や窃盗を行います。2025 年 2 月現在も、この攻撃キャンペーンは継続されています。
このフィッシング攻撃は、主に北米、オセアニア、南アジア、東南アジア、北欧、南欧、東欧、西欧のホスピタリティ組織に所属する個人を標的としています。こうした人たちは Booking.com と取引する可能性が高いため、Booking.com から送られてきたように装った偽メールを送信しているのです。
ClickFix の手口は、人が問題を解決しようとする傾向を悪用するもので、偽のエラー メッセージやプロンプトを表示し、マルウェアのダウンロードにつながるコマンドをコピー、ペースト、起動することで問題を解決するよう標的のユーザーに指示します。このようにユーザーの操作が必要となるため、従来のセキュリティ機能や自動化されたセキュリティ機能をすり抜けて攻撃が実行される可能性があるのです。今回のフィッシング攻撃では、ユーザーはキーボード ショートカットを使って Windows の「ファイル名を指定して実行」ウィンドウを開き、フィッシング ページがクリップボードに追加したコマンドをペーストして実行するよう求められます。
マイクロソフトは、この攻撃キャンペーンを Storm-1865 として追跡しています。これはフィッシング キャンペーンに関連する一連の活動で、支払いデータの盗難や不正請求の原因となっています。このような詐欺を見抜けるようユーザーを教育することで、組織はフィッシング攻撃の影響を軽減することができます。このブログでは、ユーザーや防御担当者がこうした脅威から身を守るにあたっての追加の推奨事項を紹介します。
ClickFix ソーシャルエンジニアリング手法を使用したフィッシング攻撃
この攻撃キャンペーンでは、Storm-1865 がホスピタリティ業界のターゲット組織を特定し、その組織内で Booking.com と取り引きしている可能性の高い個人を狙います。その後、Storm-1865 は Booking.com になりすました悪意のあるメールをターゲットとなる個人に送信します。メールの内容は、ゲストの否定的なレビューや、見込み客からのリクエスト、オンライン プロモーションの機会、アカウントの確認など、多岐にわたります。
図 1. 見込み客からのメールを装ったフィッシングメールのサンプル 図 2. ホテルに関する否定的なフィードバックに対応するよう受信者に要求するフィッシング メールのサンプル 図 3. Booking.com のアカウントを確認するよう要求するフィッシング メールのサンプルメールには、受信者を Booking.com に誘導するリンクや、リンクつきの PDF 添付ファイルが含まれています。リンクをクリックするとウェブページに誘導され、Booking.com の正規ページを模倣したデザインの背景上に、偽の CAPTCHA が重ねて表示されます。このウェブページでは、Booking.com が追加の認証チェックを使用しているように見せかけて標的となるユーザーに誤った安心感を与え、不正アクセスの危険性を高めています。
偽の CAPTCHA は、ウェブページが ClickFix ソーシャル エンジニアリング手法を使用して悪意のあるペイロードをダウンロードする場所です。この手法では、キーボード ショートカットを使用して Windows の「ファイル名を指定して実行」ウィンドウを開くようユーザーに促し、ウェブページがクリップボードに追加したコマンドを貼り付けて起動するよう指示します。
図 4. 偽の Booking.com ウェブページのスクリーンショット。ClickFix プロセスの概要を示す偽の CAPTCHA が表示されているこのコマンドは、mshta.exe を介して悪意のあるコードをダウンロードし、起動させます。
図 5. 標的となるユーザーが起動する mshta.exe コマンドの例この攻撃キャンペーンでは、XWorm、Lumma stealer、VenomRAT、AsyncRAT、Danabot、NetSupport RAT など、複数のコモディティ マルウェア群が配信されます。特定のペイロードによって、mshta.exe を介して起動するコードは異なります。一部のサンプルでは、PowerShell、JavaScript、およびポータブル実行可能 (PE) コンテンツがダウンロードされています。
これらのペイロードにはすべて、金融データや認証情報を盗んで不正使用する機能が含まれており、それが Storm-1865 活動の特徴となっています。2023 年、Storm-1865 は同様のソーシャル エンジニアリング手法とマルウェアを使用し、Booking.com を利用するホテルの宿泊客をターゲットにしました。2024 年には、E コマースプラットフォームを利用する購入者をターゲットに、不正な支払いウェブページに誘導するフィッシングメッセージを送信しました。この脅威アクターの戦術、手法、手順 (TTP) に ClickFix が加わったことは、Storm-1865 がフィッシングやマルウェアに対する従来のセキュリティ対策をすり抜けようと、攻撃チェーンを進化させているということです。
図 6. 今回の攻撃キャンペーンにおける感染プロセスのステージを示す図攻撃者の帰属分析
マイクロソフトが Storm-1865 として追跡している脅威アクターは、フィッシング攻撃を実行し、支払いデータの盗難や不正請求につながる一連の活動を集約しています。このようなキャンペーンは、少なくとも 2023 年初頭より増加の一途をたどっており、オンライン旅行代理店や E コマース プラットフォームなどのベンダー プラットフォームや、Gmail、iCloud Mail といったメール サービス経由で送信されるメッセージに関与しています。
推奨事項
ユーザーは、以下の推奨事項に従うことでフィッシング活動を発見することが可能です。こうした詐欺の見分け方を組織がユーザーに学んでもらうことで、フィッシング攻撃の影響を軽減することができます。
送信者のメール アドレスが正規のものであることを確認してください。メール プロバイダーが、その送信者からのメールは初めてと判定していないか、頻度の少ない相手からではないか、また「外部 [External]」からのものであると分類していないかチェックしましょう。メール アドレスにカーソルを合わせ、アドレス全体が正規のものであることを確認してください。正当な組織が迷惑メールを送ったり、迷惑電話をかけて個人情報や財務情報を要求したりすることはありません。アカウントにサインインするには、必ずその組織に直接アクセスしてください。
サービス プロバイダーに直接連絡してください。不審なメールやメッセージを受け取った場合は、公式ウェブサイトに記載されている公式の問い合わせフォームを利用して、サービス プロバイダーに直接連絡するようにしましょう。
緊急の行動を促す呼びかけや脅迫には注意してください。すぐにクリックするよう求めたり、すぐに電話をかけるよう、また添付ファイルを開くよう呼びかけたりするようなメールの通知には用心してください。フィッシング攻撃や詐欺は、よく偽りの緊張感を演出してターゲットを騙し、メッセージの正当性を精査する前に行動を起こさせようとします。
リンクにカーソルを合わせ、URL 全体を確認しましょう。受信者を騙そうと、悪意のあるリンクがメールに埋め込まれていることがあります。リンクをクリックするだけで、脅威アクターがデバイスにマルウェアをダウンロードする可能性さえあります。リンクをクリックする前に、URL 全体が正規のものであることを確認してください。最善策としては、メールのリンクをたどるのではなく、ブラウザで直接会社のウェブサイトを検索し、そこから必要な情報にアクセスするといいです。
タイプミスを探しましょう。フィッシング メールには、メールの本文内はもちろん、前述のとおり、メールのドメインやURL にタイプミスが含まれていることが多く、それによって送信者が正規の専門機関ではないことがわかります。企業が内容を校正せずにメッセージを送信することはあまりなく、複数のスペルミスや文法ミスは詐欺メールの兆候といえます。また、非常に微妙な正規ドメインのスペルミスもチェックしてください。これはタイポスクワッティング (typosquatting) という手法で、例えば micros0ft[.]com は、2 番目の o が数字の 0 に置き換えられていますし、rnicrosoft[.]com は、m が r と n に置き換えられています。
こうした脅威の影響を軽減すべく、マイクロソフトでは以下の緩和策を推奨しています。
- フィッシング耐性のある認証方法を試験運用し、導入してください。
- すべてのアカウントに多要素認証 (MFA) を適用し、MFA から除外されたユーザーを削除してください。また、すべてのデバイスであらゆる場所において常に MFA を必須としてください。
- Microsoft Defender for Office 365 で、クリック時にリンクを再確認するよう設定してください。Safe Link は、メールフロー内の受信メール メッセージに対し、URL のスキャンや書き換えを実施するほか、メール メッセージや Teams などの Microsoft 365 アプリケーション、SharePoint Online などさまざまな場における URL やリンクをクリック時に検証します。Safe Link のスキャンは、Microsoft Exchange Online Protection (EOP) の受信メール メッセージにおける通常のスパム対策およびマルウェア対策保護に追加して実施されます。これは、フィッシングなどさまざまな攻撃に使用される悪意のあるリンクから組織を保護するものです。
- Microsoft Defender SmartScreen をサポートする Microsoft Edge などのブラウザを使うよう、ユーザーに推奨してください。Microsoft Defender SmartScreen は、フィッシングサイトや詐欺サイト、マルウェアをホストするサイトなど、悪意のあるウェブサイトを特定しブロックします。
- Microsoft Defender Antivirus または同等のウイルス対策製品におけるクラウド型保護機能を有効にし、急速に進化する攻撃ツールや手法に対応してください。クラウドベースの機械学習保護により、新種や未知の亜種の大半がブロックされます。
- ネットワーク保護を有効にし、アプリケーションやユーザーがインターネット上の悪意のあるドメインや悪意のあるコンテンツなどにアクセスすることを防止してください。
- 完全自動モードで調査と修復ができるようにしてください。これにより、Microsoft Defender for Endpoint がアラートに即座に対応して侵害を解決できるようになり、アラートの件数を大幅に削減します。
- Office 365 のゼロ時間自動消去 (ZAP : Zero-Hour Auto Purge) を有効にしてください。これは、新たに取得した脅威インテリジェンスに基づいて送信済みメールを検疫し、すでにメールボックスに配信された悪意のあるフィッシングやスパム、マルウェアメッセージをさかのぼって無効化します。
Microsoft Defender XDR をご利用のお客様は、攻撃対象領域削減ルールを有効にすることで、一般的な攻撃手法を防ぐことができます。
- 有病率、年齢、または信頼されたリストの条件を満たしていない限り、実行可能ファイルの実行をブロックする
- 難読化される可能性のあるスクリプトの実行をブロックする
- ダウンロードした実行可能コンテンツの起動を JavaScript または VBScript でブロックする
- Windows ローカル セキュリティ機関サブシステムからの資格情報の盗み取りをブロックする
検出の詳細
Microsoft Defender XDR をご利用のお客様は、以下に示す適用可能な検出リストが参照できるようになっています。Microsoft Defender XDR は、エンドポイント、アイデンティティ、メール、アプリにわたって検出や防止、調査、対応を調整し、このブログで説明した脅威をはじめとする攻撃に向け統合的な保護を提供します。
また、プロビジョニングされたアクセス権を持つお客様は、Microsoft Defender の Microsoft Security Copilot を使用して、インシデントの調査と対応、脅威の追跡、そして関連する脅威インテリジェンスを活用した組織の保護が可能です。
Microsoft Defender Antivirus
Microsoft Defender Antivirus は、脅威コンポーネントを以下のマルウェアとして検出します。
- TrojanDownloader:Win32/XWorm
- Trojan:Win32/XWorm
- Trojan:Win64/Xworm
- Trojan:VBS/XWorm
- Trojan:MSIL/Xworm
- Backdoor:MSIL/XWorm
- TrojanDropper:Win32/LummaStealer
- Trojan:Win64/LummaStealer
- Trojan:Win32/LummaStealer
- Trojan:MSIL/LummaStealer
- Trojan:JS/LummaStealer
- Trojan:Win32/VenomRat
- Trojan:MSIL/VenomRAT
- TrojanDropper:MSIL/AsyncRAT
- TrojanDownloader:Win64/AsyncRAT
- TrojanDownloader:VBS/AsyncRAT
- TrojanDownloader:PowerShell/AsyncRAT
- TrojanDownloader:MSIL/AsyncRAT
- Trojan:Win64/AsyncRat
- Trojan:Win32/AsyncRat
- Trojan:VBS/AsyncRAT
- Trojan:PowerShell/AsyncRAT
- Trojan:MSIL/AsyncRAT
- Trojan:JS/AsyncRat
- Trojan:BAT/AsyncRat
- RemoteAccess:MSIL/AsyncRAT
- Backdoor:MSIL/AsyncRAT
- Trojan:Win32/Danabot
- Trojan:VBS/Danabot
- Trojan:Win64/Danabot
- TrojanSpy:Win32/Danabot
- TrojanSpy:Win64/Danabot
- TrojanDownloader:VBS/Danabot
- TrojanDownloader:Win32/Danabot
- TrojanDownloader:PowerShell/NetSupport
- TrojanDownloader:JS/NetSupport
- Trojan:VBS/NetSupportRat
- TrojanDownloader:JS/NetSupportRat
- Trojan:Win32/NetSupportRat
Microsoft Defender for Endpoint
以下のアラートは、この脅威に関連する活動を示している可能性があります。ただし、これらのアラートは無関係な脅威活動によっても引き起こされることがあります。
- RunMRU レジストリ内の不審なコマンド
- 不審な PowerShell コマンドライン
- Living Off The Land (システム内寄生型) バイナリを使用した悪意のあるコードの実行
- パスワードやその他機密性の高いウェブ ブラウザ情報の窃取の可能性
- 不審な DPAPI アクティビティ
- 不審な mshta プロセスの起動
- 不審なフィッシング活動の検知
Microsoft Defender for Office 365
Microsoft Defender for Office 365 は、以下のアラートによって、この脅威に関連する悪意のある活動を検出します。
- この URL には悪意のある活動として知られる登録者パターンがあります。
- この URL は booking.com を偽装しています。
- この PDF には一般的なフィッシングの特徴があります。
- この URL には一般的なフィッシングの特徴があります。
Microsoft Security Copilot
Security Copilot をご利用のお客様は、Security Copilot 単体の環境で独自のプロンプトを作成することができます。また、以下の事前構築済みのプロンプトブックを実行し、この脅威に関連するインシデント対応や調査タスクを自動化することも可能です。
- インシデント調査
- マイクロソフト ユーザー分析
- 脅威アクター プロファイル
- MDTI 記事に基づいた Threat Intelligence 360 レポート
- 脆弱性影響評価
一部のプロンプトブックでは、Microsoft Defender XDR や Microsoft Sentinel などマイクロソフト製品のプラグインへのアクセスが必要になります。
脅威インテリジェンス レポート
マイクロソフト製品をご利用のお客様は、マイクロソフト製品の以下のレポートを使用して、このブログで取り上げた脅威アクターや悪意のある活動、および手法に関する最新情報を入手できます。これらのレポートには、お客様の環境で発見された関連する脅威を防止し、緩和し、対応するためのインテリジェンスや保護情報、推奨アクションが記載されています。
Microsoft Defender 脅威インテリジェンス
- ベンダー プラットフォーム上での Storm-1865 フィッシング キャンペーンによる支払いデータの盗難や不正請求
- Danabot
- NetSupport RAT
- AsyncRAT
- Lumma Stealer
Microsoft Security Copilot をご利用のお客様は、Security Copilot のスタンドアロン ポータルまたは Microsoft Defender ポータル内の組み込みアプリにて、Microsoft Defender 脅威インテリジェンスの Microsoft Security Copilot インテグレーションを使用し、この脅威アクターに関する詳細情報を得ることもできます。
ハンティング クエリ
Microsoft Defender XDR
Microsoft Defender XDR をご利用のお客様は、以下のクエリを実行し、ネットワーク内の関連アクティビティを発見することができます。
このアクティビティに関連する既知の C2 インフラストラクチャへのネットワーク接続
既知の C2 インフラストラクチャとのネットワーク接続を検索します。
| let c2Servers = dynamic([‘92.255.57.155′,’147.45.44.131′,’176.113.115.170′,’31.177.110.99′,’185.7.214.54′,’176.113.115.225′,’87.121.221.124′,’185.149.146.164’]);
DeviceNetworkEvents | where RemoteIP has_any(c2Servers) | project Timestamp, DeviceId, DeviceName, LocalIP, RemoteIP, InitiatingProcessFileName, InitiatingProcessCommandLine |
Microsoft Sentinel
Microsoft Sentinel をご利用のお客様は、TI Mapping 分析 (先頭にすべて「TI map」がつく一連の分析) を使用して、このブログ記事で言及されている悪意のあるドメインのインジケーターを、ご自身のワークスペースのデータと自動的に照合することができます。現在 TI Mapping 分析が導入されていない場合、Microsoft Sentinel コンテンツ ハブから脅威インテリジェンス ソリューションをインストールすることで、分析ルールを Sentinel ワークスペースに導入することができます。
以下は、マイクロソフトのファーストパーティーおよびサードパーティーのデータ ソース全体にわたって脅威を追跡するにあたり、Sentinel Advanced Security Information Model (ASIM) の機能を使用したクエリです。ASIM は、ARM テンプレートの使用または手動で、GitHub から特定のワークスペースにパーサーを導入することもサポートしています。
ASIM 統合パーサー _Im_NetworkSession を使用して、正規化されたネットワーク セッション イベントを IOC (セキュリティ侵害インジケーター) に基づいて追跡します。
| let lookback = 30d;
let ioc_ip_addr = dynamic([‘92.255.57.155′,’147.45.44.131′,’176.113.115.170′,’31.177.110.99′,’185.7.214.54′,’176.113.115.225′,’87.121.221.124′,’185.149.146.164’]); _Im_NetworkSession(starttime=todatetime(ago(lookback)), endtime=now()) | where DstIpAddr in (ioc_ip_addr) or DstDomain has_any (ioc_domains) | summarize imNWS_mintime=min(TimeGenerated), imNWS_maxtime=max(TimeGenerated), EventCount=count() by SrcIpAddr, DstIpAddr, DstDomain, Dvc, EventProduct, EventVendor |
ASIM 統合パーサーの _Im_WebSession を使用して、正規化されたウェブ セッション イベントを IOC に基づいて追跡します。
| let lookback = 30d;
let ioc_ip_addr = dynamic([‘92.255.57.155′,’147.45.44.131′,’176.113.115.170′,’31.177.110.99′,’185.7.214.54′,’176.113.115.225′,’87.121.221.124′,’185.149.146.164’]); _Im_WebSession(starttime=todatetime(ago(lookback)), endtime=now()) | where DstIpAddr has_any (ioc_ip_addr) | summarize imWS_mintime=min(TimeGenerated), imWS_maxtime=max(TimeGenerated), EventCount=count() by SrcIpAddr, DstIpAddr, Url, Dvc, EventProduct, EventVendor |
ASIM 統合パーサー imFileEvent を使用して、正規化されたファイル イベントを IOC に基づいて追跡します。
| let ioc_sha_hashes =dynamic([“01ec22c3394eb1661255d2cc646db70a66934c979c2c2d03df10127595dc76a6″,” f87600e4df299d51337d0751bcf9f07966282be0a43bfa3fd237bf50471a981e “,”0c96efbde64693bde72f18e1f87d2e2572a334e222584a1948df82e7dcfe241d”]); imFileEvent
| where SrcFileSHA256 in (ioc_sha_hashes) or TargetFileSHA256 in (ioc_sha_hashes) | extend AccountName = tostring(split(User, @’¥’)[1]), AccountNTDomain = tostring(split(User, @’¥’)[0]) | extend AlgorithmType = “SHA256” |
セキュリティ侵害インジケーター
| インジケーター | タイプ | 内容 |
| 92.255.57[.]155 | IP アドレス | XWorm を配信する C2 サーバー |
| 147.45.44[.]131 | IP アドレス | Danabot を配信する C2 サーバー |
| 176.113.115[.]170 | IP アドレス | LummaStealer を配信する C2 サーバー |
| 31.177.110[.]99 | IP アドレス | Danabot を配信する C2 サーバー |
| 185.7.214[.]54 | IP アドレス | XWorm を配信する C2 サーバー |
| 176.113.115[.]225 | IP アドレス | LummaStealer を配信する C2 サーバー |
| 87.121.221[.]124 | IP アドレス | Danabot を配信する C2 サーバー |
| 185.149.146[.]164 | IP アドレス | AsyncRAT を配信する C2 サーバー |
| 01ec22c3394eb1661255d2cc646db70a66934c979c2c2d03df10127595dc76a6 | ファイル ハッシュ (SHA-256) | Danabot マルウェア |
| f87600e4df299d51337d0751bcf9f07966282be0a43bfa3fd237bf50471a981e | ファイル ハッシュ (SHA-256) | Danabot マルウェア |
| 0c96efbde64693bde72f18e1f87d2e2572a334e222584a1948df82e7dcfe241d | ファイル ハッシュ (SHA-256) | Danabot マルウェア |
参考資料
- Booking.com の顧客、セキュリティ侵害の被害にあったホテルのアカウント経由でフィッシング攻撃の標的に (Perception Point)
- XWorm マルウェアとは? (AnyRun)
関連情報
マイクロソフト脅威インテリジェンス コミュニティによる最新のセキュリティ調査については、マイクロソフト脅威インテリジェンス ブログ (https://aka.ms/threatintelblog) をご覧ください。
新しい発表に関するお知らせや、ソーシャル メディアでのディスカッションに参加するには、LinkedIn (Microsoft Threat Intelligence) および X (旧 Twitter) (@MsftSecIntel) をフォローしてください。
また、マイクロソフト脅威インテリジェンス コミュニティによるポッドキャストでは、進化し続ける脅威状況に関するストーリーやインサイトを音声でお届けしています。
—
本ページのすべての内容は、作成日時点でのものであり、予告なく変更される場合があります。正式な社内承認や各社との契約締結が必要な場合は、それまでは確定されるものではありません。また、様々な事由・背景により、一部または全部が変更、キャンセル、実現困難となる場合があります。予めご了承下さい。