付録:最近の手口と「組み合わせ型」攻撃

攻撃視点の分類 → セキュリティ脅威マップ / 付録(横断・最新動向)

ここまでの11ジャンルは、攻撃の 「部品(パーツ)」 です。実際に最近起きている攻撃は、複数の部品を組み合わせて やってきます。しかも、正規のサービス(求人サイト・GitHub・Zoom など)や、AI(ディープフェイク)を悪用 して、本物との見分けがどんどん難しくなっています。

このページは、最近よく見られる「組み合わせ型」の実例 を集めた付録です。1つの対策だけでは防ぎきれない――という感覚をつかんでください。

このページの読み方 — 🟢 は全員が知っておく基礎、🔧 はエンジニア・運用担当者向け。各事例の「組み合わさるジャンル」から、元の解説ページへ飛べます。

⚠️ 本ページは実在の報道・公開情報をもとにしていますが、LLMで作成したプロトタイプ です。固有事例の数字・時期は概数で、最新情報は出典で確認してください。誤りは PR / Issue で歓迎します。

1. なぜ「組み合わせ」で考えるのか

攻撃者は、教科書どおり1つの手口だけを使うわけではありません。たとえば、よくある「連鎖」はこうです。

偽メール(なりすまし) で偽サイトへ → ログイン情報とセッションを奪う(コミュニケーション基盤) → 入った先で マルウェアを置く(マルウェア)クラウドの鍵や設定(クラウド) を悪用して広がる

入口は「人」、最後は「クラウドやデータ」。ジャンルの境界をまたいで進む のが現代の攻撃です。だから、守る側も「点」ではなく「線・面」で考える必要があります。

2. 最近の事例(ケーススタディ)

各事例は「どんな攻撃か → 組み合わさるジャンル → 🟢気づくポイント → 🔧守り → 実例」で短くまとめます。

1. 偽の採用・面接(開発者ねらい)→ 認証情報・暗号資産の窃取

  • どんな攻撃?:採用担当やヘッドハンターを装って LinkedIn 等で接触し、「コーディングテスト」「サンプル課題を動かして」と頼む。その課題コード(npm 等のパッケージ)に 情報窃取マルウェア が仕込まれていて、動かした瞬間にブラウザ保存のパスワード・Cookie・暗号資産ウォレットを抜かれる。
  • 組み合わさるジャンルなりすましサプライチェーンマルウェアメール・チャット乗っ取り
  • 🟢 気づくポイント:「選考の一部」でも、知らないコードを自分のPCで実行させようとする 依頼は赤信号。会社情報・採用ページの実在を別経路で確認。
  • 🔧 守り:面接課題は 使い捨ての隔離環境(コンテナ/VM) で。開発端末に EDR、ブラウザに認証情報を貯めすぎない、業務と私用を分離。
  • 実例:北朝鮮系とされる 「Contagious Interview」 キャンペーン。Web3/ブロックチェーン開発者を中心に、偽求人+課題で BeaverTail 等の情報窃取マルウェアを配布。npm/PyPI/Go/Rust に 1,700件超 の悪性パッケージが確認されている(Socket / Unit 42)。

2. オープンソースの「コラボ依頼・PRレビュー」からの罠

  • どんな攻撃?:「バグを見つけた、この PoC(実証コード)を動かして」「私のリポジトリを試して」と DM やイシューで頼み、悪性コードを実行させる。さらに高度な例では、何年もかけて信頼を積み、メンテナ権限を得てから裏口(バックドア)を仕込む ロングコン型もある。
  • 組み合わさるジャンルなりすましサプライチェーンマルウェア内部不正(正規権限の悪用)
  • 🟢 気づくポイント:素性の不確かな相手の 「これを実行して」「これをインストールして」 は警戒。急かす・親切すぎるのも兆候。
  • 🔧 守り:PoC は隔離環境で。依存の ピン留め・署名検証・SBOM、メンテナ追加や権限付与は慎重に(サプライチェーン 参照)。
  • 実例XZ Utils バックドア(CVE-2024-3094, 2024年3月発覚, CVSS 10.0)。「Jia Tan」を名乗る人物が約3年かけて信頼を獲得しメンテナ権限を取得、圧縮ライブラリに OpenSSH を狙うバックドアを仕込んだ。偶然発見されたが、人間関係そのものを攻撃した典型例。

3. フェイク会議・偽ミーティング参加ページ(ClickFix「これを貼って」)

  • どんな攻撃?:偽の Zoom/Teams/Meet 招待や「会議に参加」ページに誘導し、「マイク/カメラの認証のため、この操作をしてください」「人間であることを確認」などと称して、ユーザー自身にコマンドを貼り付け・実行させる(ClickFix)。自分の手で実行するので、セキュリティ製品をすり抜けやすい。
  • 組み合わさるジャンルなりすましマルウェアDNS・ドメイン(偽の会議ドメイン)
  • 🟢 気づくポイント「ファイル名を指定して実行(Win+R)」やターミナルにコマンドを貼れ という指示は、ほぼ100%罠。正規の会議でそんな操作は不要。
  • 🔧 守り:会議アプリは公式ストア/公式サイトから。エンドポイントで PowerShell/スクリプト実行を監視・制限、ブラウザからの危険サイトをブロック。

4. ディープフェイク役員とのビデオ会議での送金詐欺(BEC)

  • どんな攻撃?:偽メールで担当者を呼び出し、CFOや同僚そっくりのディープフェイク映像・音声 が出るビデオ会議で「至急、内密に送金して」と指示。本物に見える“複数人”がいるため、担当者は疑いを捨ててしまう。
  • 組み合わさるジャンルなりすまし・BECAI(ディープフェイク)メール・チャット乗っ取り
  • 🟢 気づくポイント「顔と声」はもう本人確認にならない。急な送金・振込先変更は、登録済みの番号でコールバック、社内の合言葉で確認。
  • 🔧 守り:送金の 多段承認・帯域外(別経路)確認 を業務フローに組み込む。役員・経理向けにディープフェイク訓練。
  • 実例:2024年に報じられた 香港・Arup社の事例。担当者がディープフェイクのビデオ会議にだまされ、15回の送金で約2,560万ドル(約2億香港ドル) を詐取された。

5. MFA疲労攻撃+ヘルプデスクなりすまし

  • どんな攻撃?:先にパスワードを盗み、MFAの承認通知を何度も送りつけて(疲労攻撃) うっかり承認させる。あるいは IT ヘルプデスクに社員を装って電話 し、「MFAをリセットして」と頼んで乗っ取る。声のクローンや発信者番号偽装も併用。
  • 組み合わさるジャンルなりすまし・ビッシングメール・チャット乗っ取り(MFA)内部不正(ヘルプデスクの正規操作を悪用)
  • 🟢 気づくポイント身に覚えのないMFA通知は絶対に承認しない(=誰かがパスワードを握っているサイン、すぐ変更&報告)。
  • 🔧 守りフィッシング耐性MFA(パスキー/FIDO2) で疲労攻撃を無効化。ヘルプデスクの 本人確認を厳格化(MFAリセットは上長承認・コールバック)。
  • 実例Scattered Spider による 2023年の MGM/Caesars 侵害。LinkedIn で調べた社員になりすましヘルプデスクに電話、MFAを再登録させて侵入。被害は MGM 約1億ドル規模、Caesars は約1,500万ドルを支払ったと報じられた(CISA AA23-320A)。

6. AiTM(中間者)フィッシング → セッションCookie窃取でMFA回避

  • どんな攻撃?:偽サイトが本物のログイン画面を 中継 し、ID・パスワードに加えて MFA通過後のセッションCookieまで 横取り。攻撃者はそのCookieで“ログイン済みのフリ”ができ、MFAを実質回避 する。
  • 組み合わさるジャンルなりすましメール・チャット乗っ取り
  • 🟢 気づくポイント:ログインは ブックマーク/公式アプリ から。少しでもURLが違えば中断。
  • 🔧 守りパスキー/FIDO2(偽サイトでは成立しない)、条件付きアクセス、セッション有効期間の短縮・異常時の失効
  • 補足:EvilProxy・Tycoon などの“フィッシングキット”で誰でも実行できてしまうのが近年の特徴。

7. インフォスティーラー → 保存パスワード・Cookie窃取 → アカウント乗っ取り

  • どんな攻撃?:偽ソフトや添付から 情報窃取マルウェア(インフォスティーラー) に感染し、ブラウザ保存のパスワードと セッションCookie を一括で抜かれる。Cookieがあれば パスワードもMFAも不要 で乗っ取れてしまう。
  • 組み合わさるジャンルマルウェアメール・チャット乗っ取りサプライチェーンなりすまし(配布経路)
  • 🟢 気づくポイント:「割れソフト」「無料ツール」「便利な拡張機能」を安易に入れない。ブラウザにパスワードを貯めすぎない。
  • 🔧 守り:EDR、パスワードマネージャ+パスキー、重要操作時の再認証、不審ログイン(不可能な移動・新デバイス)の検知。

8. OAuth同意フィッシング(不正な連携アプリを「許可」させる)

  • どんな攻撃?:パスワードを盗むのではなく、「このアプリにアクセスを許可しますか?」の“許可(Allow)”を押させる。承認するとメールやファイルへのアクセス権(トークン)を渡してしまい、パスワード変更やMFAでも止められない(トークンが生きている限り)。
  • 組み合わさるジャンルなりすましメール・チャット乗っ取り(OAuth)クラウド設定・鍵管理
  • 🟢 気づくポイント見覚えのない連携アプリの「許可」要求は承認しない。すでに許可済みの連携も定期的に見直す。
  • 🔧 守り:OAuthアプリの ガバナンス(管理者承認制・許可リスト)、不審トークンの失効、付与スコープの最小化。

3. これらに共通する“新しさ”(5つの特徴)

  1. 正規サービス・正規ツールの悪用 — GitHub・Zoom・求人サイト・クラウドストレージなど「信頼されている場所」が舞台になる。
  2. 正規の業務フローの中でだます — 採用・OSSのコラボ・会議・取引先連絡など、疑いにくい文脈 に紛れ込む。
  3. AI・ディープフェイクの利用 — 顔・声・文章が本物そっくりに。「見た・聞いた」だけでは信用できない。
  4. MFAを“突破”ではなく“回避” — セッションCookie・OAuthトークン・ヘルプデスク経由で、認証そのものを迂回する。
  5. 「あなた自身に実行させる」 — コマンドを貼らせる・コードを動かせる・送金させる。最後のひと押しを本人にさせる ことで、防御をすり抜ける。

4. 横断する守りの原則

🟢 全員

  1. 「今すぐ・内緒で・これを実行して」は赤信号 — 採用でもOSSでも会議でも、急かしと“実行/送金の依頼”が重なったら一拍おく。
  2. 知らない相手のコード・コマンドを実行しない — 「これを貼って」「インストールして」「このテストを動かして」は特に警戒。
  3. 顔と声を信用しすぎない — ディープフェイク時代。重要な依頼は 別経路でコールバック/合言葉 で本人確認。
  4. パスキー(FIDO2)を使う — 偽サイト・中継サイトでは成立せず、フィッシングと疲労攻撃に強い。
  5. 身に覚えのないMFA通知は承認しない — 承認は「誰かがパスワードを握っている」サイン。すぐ変更&報告。

🔧 エンジニア・運用

  1. フィッシング耐性MFA(パスキー/FIDO2) を重要アカウントから展開。
  2. ヘルプデスクの本人確認を厳格化 — MFAリセットは上長承認・コールバック・合言葉。
  3. EDR+デバイス管理、PowerShell/スクリプト実行の監視・制限(ClickFix対策)。
  4. 検証用の隔離環境 — 面接課題・PoC・外部コードは使い捨てのコンテナ/VMで。
  5. OAuthアプリのガバナンス/セッション保護 — 管理者承認制、トークン失効、条件付きアクセス、最小権限。
  6. 依存とビルドの検証 — ピン留め・SBOM・署名検証(サプライチェーン)。

5. チェックリスト

🟢 全員

  • 「採用・OSS・会議」でも、知らないコード/コマンドを自分のPCで実行しない
  • 急な送金・振込先変更・MFAリセットは、別経路(登録済み番号)でコールバック確認する
  • 身に覚えのないMFA通知・OAuth「許可」要求は承認しない
  • 重要アカウントをパスキー(FIDO2)にしている
  • 「顔と声が本物そっくり」でも、重要依頼は本人確認の手順を踏む

🔧 エンジニア・運用

  • フィッシング耐性MFA(パスキー/FIDO2)を重要アカウントへ展開している
  • ヘルプデスクのMFAリセット手順を厳格化している(本人確認・承認)
  • EDRと、スクリプト/コマンド実行の監視・制限を入れている
  • 外部コード・面接課題・PoCを隔離環境で扱う運用がある
  • OAuthアプリのガバナンスとセッション失効・条件付きアクセスを設定している

6. 関連ジャンル・出典

関連ジャンル(この付録が横断するページ)

出典(一次情報・報道)

  • IPA「情報セキュリティ10大脅威」 — https://www.ipa.go.jp/security/10threats/ / JPCERT/CC(注意喚起)
  • CISA「Scattered Spider」AA23-320A(ヘルプデスクなりすまし・MFA悪用)
  • Socket / Palo Alto Unit 42「Contagious Interview」(偽採用・悪性npm)
  • CNN / Fortune ほか(Arup ディープフェイク約2,560万ドル事案, 2024)
  • Wikipedia / Akamai ほか「XZ Utils backdoor(CVE-2024-3094)」
  • MITRE ATT&CK(手口の体系的カタログ)

合わせて読む