添付ファイル型フィッシング、窃取情報をTelegramへ送信

疑わしい添付ファイルから始まるフィッシング攻撃

最近、「New PO 500PCS.pdf.hTM」というファイルがメールで配布されていることが確認された。一見すると購入注文書のPDFのように見えるが、実際にはHTMLファイルであり、ユーザーの認証情報を窃取するフィッシングサイトへ誘導する仕組みになっている。

このファイルを開くとブラウザ上でページが表示され、入力されたパスワードやIPアドレス、位置情報などのデータが攻撃者のTelegramボットへ送信されることが確認されている。

フィッシングで多用される二重拡張子の手口

メールで配布される二重拡張子ファイル（例：.pdf.htm）は、フィッシング攻撃で広く利用される手法の一つだ。一見すると文書ファイルのように見えるが、実際には悪意のあるスクリプトやフィッシングフォームを含むHTMLファイルとなっている。

受信者がファイルを開くと、ログイン情報の入力を促す画面が表示され、メールアドレスがあらかじめ入力された状態になっている場合もある。この過程で、フィッシングスクリプトはIPアドレスや位置情報、ブラウザ情報などを収集し、攻撃者のサーバーへ送信する仕組みになっている。

攻撃者はどのように情報を収集するのか

このフィッシング攻撃では、被害者に二重拡張子ファイルを開かせ、ログイン用パスワードの入力を促す。パスワードを入力すると「アカウントまたはパスワードが間違っています。再試行してください。」というメッセージが表示され、ユーザーに再入力を促す仕組みになっている。これは複数のパスワードを入力させるための心理的な誘導とみられる。

被害者が再びパスワードを入力すると、実際の文書が表示される代わりに、ibb.coにホスティングされたぼやけた画像へリダイレクトされる。ibb.coは画像共有サービスImgBBが使用している短縮ドメインであり、正規サービスを悪用した攻撃の一例といえる。

Telegramを悪用した情報送信

このフィッシング攻撃で特徴的なのは、収集した情報の送信手段だ。窃取されたデータはメールや一般的なサーバーではなく、Telegramボットを通じて攻撃者へ送信される仕組みになっている。

Telegramは暗号化通信に対応したメッセージングサービスであり、多くの組織のネットワークで遮断されていない場合が多い。このため、近年ではフィッシングやマルウェア運用におけるC2（Command and Control）チャネルとして悪用されるケースも確認されている。

フィッシング攻撃への対策

このようなフィッシング攻撃は低コストで大規模に実行される可能性があるため、利用者には十分な注意が求められる。特に、送信元が不明確なメールに添付されたファイルは安易に開かず、拡張子を確認するなど基本的な対策が重要となる。また、アカウントへのアクセスは公式アプリや正規のウェブサイトから行うことが推奨される。

さらに、重要なアカウントでは多要素認証（MFA）を有効にすることで、不正ログインのリスクを大幅に低減できる。加えて、最新のセキュリティソリューションを導入し、ウェブ保護機能を有効にしておくことも有効な対策となる。Malwarebytesの「Scam Guard」のようなツールを利用すれば、疑わしいメールをスキャンしてフィッシングの可能性を確認することも可能だ。