従来のフィッシングサイトの多くは、人気サービスのログイン画面を静的に模倣したもので、セキュリティ企業や反スパム活動家によって短期間で検知・遮断されるのが一般的だった。しかし、新たな「フィッシング・アズ・ア・サービス(PhaaS)」であるStarkillerは、この二つの課題を同時に回避する画期的な手法を採用している。
Starkillerは、ターゲットブランドの本物のログインページを動的に読み込み、ユーザーの入力をリアルタイムで傍受する。さらに、被害者と正規サイトの間でデータを中継する「マン・イン・ザ・ミドル」型のプロキシとして機能し、ユーザー名・パスワード・MFAコードなどの認証情報を奪取する仕組みだ。
巧妙なURL偽装とリアルタイム監視機能
セキュリティ企業Abnormal AIの分析によると、Starkillerは顧客がターゲットブランド(Apple、Facebook、Google、Microsoftなど)を選択すると、正規ドメインを模倣した巧妙なURLを自動生成する。例えば、Microsoftを狙ったフィッシングリンクは「login.microsoft.com@[悪意ある短縮URL]」と表示される。URLの「@」記号の前はユーザー名扱いとなるため、実際のターゲットは「@」以降の部分に隠される仕組みだ。
また、StarkillerはDockerコンテナ上でヘッドレスChromeブラウザを実行し、正規のログインページを読み込む。このコンテナがリバースプロキシとして機能し、被害者の入力を正規サイトに転送すると同時に、サイトからのレスポンスを被害者に返す。この間、すべてのキーストローク、フォーム送信、セッション情報が攻撃者のインフラを経由し、リアルタイムで記録される。
MFAも回避、サイバー犯罪者向けの「ダッシュボード」機能も
Abnormal AIの研究者であるCallie BaronとPiotr Wojtylaは、同サービスについて以下のように説明している。
「Starkillerは、被害者がフィッシングページとやり取りする様子をリアルタイムで画面共有する機能を備えている。さらに、キーロガーによるすべての入力記録、Cookieやセッション情報の窃取による直接的なアカウント乗っ取り、ターゲットの位置情報追跡、新たな認証情報入手時の自動Telegram通知など、サイバー犯罪者にとって極めて有用な機能が搭載されている。また、訪問数やコンバージョン率、パフォーマンスグラフなどのキャンペーン分析機能も提供され、まるで正規のSaaSプラットフォームのような使い勝手だ」
特に注目すべきは、MFA(多要素認証)のコードも傍受可能な点だ。被害者は正規サイトに対して認証を行っているつもりだが、実際には攻撃者のプロキシを経由しており、認証トークンも攻撃者に転送される仕組みとなっている。
サイバー犯罪者にとっての「使いやすさ」が脅威を拡大
従来のフィッシングキットでは、サーバーの設定やドメイン名、証明書、プロキシサービスの構築など、技術的な知識が必要とされていた。しかしStarkillerは、これらの煩雑な作業を自動化し、誰でも簡単に利用できるようにしている。このため、サイバー犯罪者にとっての参入障壁が大幅に低下し、フィッシング攻撃の拡大が懸念される。
Abnormal AIは、Starkillerのような高度なPhaaSの出現が、今後ますます巧妙化するフィッシング攻撃の一例であると警鐘を鳴らしている。企業や個人は、従来のセキュリティ対策に加え、URLの表示内容だけでなく、実際のリンク先を常に確認するなど、より慎重な対応が求められている。
関連記事
米国防総省幹部「先端AIは戦争を根本から変える革命的技術」
Advanced artificial intelligence models will “fundamentally change warfare as we know it,” a top cyber official at the Defense Department said Thursda...
米ホワイトハウス高官が指摘:AI時代のサイバーセキュリティで「アイデンティティ管理」が最重要に
As AI becomes more integrated into federal IT (and attacker toolsets) government agencies will need to focus their resources on regulating and monitor...
フォックスコン、北米工場へのサイバー攻撃を確認 8TBのデータ流出主張するランサムウェアグループが犯行声明
Foxconn, one of the world’s largest manufacturers of electronics sold by major tech vendors, is recovering from a cyberattack that disrupted some of t...
AI便分析アプリがユーザーの15万枚の便画像データベースを販売 — 倫理的・プライバシー問題で波紋
A few weeks ago, I came across a wild post on Reddit’s r/DHExchange, a subreddit for trading large datasets: “I hoarded a large database of something...
AI最新モデルが自律型サイバータスクのベンチマークを突破、専門家に衝撃
Two of the most advanced artificial intelligence models — Anthropic’s Claude Mythos Preview and OpenAI’s GPT-5.5 — have significantly surpassed the al...
下院安全保障委員会、AIモデル「Mythos」のサイバー脆弱性検出能力を調査
The House Homeland Security Committee is digging into Anthropic’s AI model Mythos in a series of briefings and hearings, as questions proliferate on w...
AIを悪用した詐欺となりすましの新たな脅威:企業が直面するリアルタイムのリスク
Today’s enterprise executives are navigating a complex landscape of AI-driven challenges, but none is more urgent than the rapid escalation of AI-gene...
OpenAIが発表したサイバーセキュリティ専用AI「Daybreak」:脆弱性対策を自動化
OpenAI has unveiled Daybreak, a cybersecurity initiative that combines the company’s large language models with its Codex agentic framework to help or...