1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. ハッカー集団・脅威アクターに関する動向
  5. GMOあおぞらネット銀行を騙るフィッシングキャンペーン-日本を狙うサイバー攻撃

GMOあおぞらネット銀行を騙るフィッシングキャンペーン-日本を狙うサイバー攻撃

セキュリティニュース

投稿日時: 更新日時:

GMOあおぞらネット銀行を騙るフィッシングキャンペーン-日本を狙うサイバー攻撃

2025年10月15日 Netcraftは、GMOあおぞらネット銀行を装う不審なURLを発見したことを端緒に、Basic認証の表記を悪用するフィッシングが継続的に展開されていると報告しました。

この手口は、古くからあるhttps://ユーザー名:パスワード@実際に接続されるドメインというURL構造を利用し、「@」より前に正規の銀行名やブランド名のドメインを置くことで、利用者に正規リンクだと錯覚させます。

ブラウザは「@」以前を認証情報として扱い、接続先は「@」以降になるため、見た目と実際の遷移先が食い違う点がポイントです。

具体的な手口

GMOあおぞらネット銀行を狙った一連のURLでは、

gmo-aozora[.]comユーザー名欄に埋め込み、

「@」の後ろ攻撃者が管理するドメイン(例:coylums[.]comblitzfest[.]compavelrehurek[.]com)を配置。

遷移先では日本語の「私はロボットではありません」風CAPTCHAページを表示して正当性を演出し、同一のパス(/sKgdiq)や画面構成が複数ドメインで再利用されていました。

ユーザー名欄にトークン風の文字列(エンコード値)を混ぜ、セッションや暗号化識別子に見せかけるなど、視覚的な信頼誘導も組み合わせています。

観測状況:日本が主戦場に

Netcraftが直近14日間を抽出したところ、少なくとも214件のBasic認証型フィッシングURLを確認。

そのうち約71.5%(153件)は日本の利用者・組織を狙うもので、.jpドメインの表記や日本特有の文言、国内ブランドの名義が使われていました。


対象ブランドはAmazon、Google、Yahoo、LinkedIn、Facebook、Netflix、DHL、FedEx、Bank of America、SoftBankなど多岐にわたり、緊急性をあおる通知メールメッセージアプリが拡散経路として用いられています。メールクライアントやモバイルブラウザでURLが途中までしか見えない、あるいは先頭部分が太字・強調されるUI特性が、視覚的な成りすましに有利に働いていると見られます。

発見されたフィッシングURL

GMOあおぞらネット銀行を騙るフィッシングURL

  • hxxps://gmo-aozora[.]com%25ZYJ55BOB%25hk0zv7mn%25MnbVh5Tir@ coylums[.]com/sKgdiq/

  • hxxps://gmo-aozora[.]com%25K91E3AB%251baa0wz%25Mb5iqFg@ coylums[.]com/sKgdiq

  • hxxps://gmo-aozora[.]com%25938C4G%250rwi9tv0x%25xPcHpq0@ blitzfest[.]com/sKgdiq

  • hxxps://gmo-aozora[.]com%251TE5CV7VB%2545pc25b%25H25auxt@ blitzfest[.]com/sKgdiq

  • hxxps://gmo-aozora.com%251P0UFWAWIQ%25w9ue1%259cerXB@ pavelrehurek[.]com/sKgdiq/

  • hxxps://gmo-aozora[.]com%25UJKVPV7BK%258wzepvye%25p2z3wEE0@ pavelrehurek[.]com/sKgdiq/

アマゾンを騙るフィッシングURL

  • hxxps://amazon[.]jp-bghqtjbe%2Fufeuxoj%3Fxekqxdyfj%3Dbghqtjbe[.]lfu%2Frovglb@ly fak[.]com/xekqxdyfj/rovglb/dl0A542oUc8ZwQFV5tCxeGUMuQLpR_CdMHxo5rWkWTM[.]lfu640

  • hxxps://amazon-qxshi[.]jp%2Fqxshi%2Fqxshi%3Fqxshi=xbbkvfxy@mhly5[.]com/pmdctnhvc/gjdyja/1BajQEVjdB0ABk82l8Jy0-qm3Ym7ioWHjFEdczw3L_8[.]evcekti768

  • hxxps://amazon-vjedcdj[.]gov%2Fhylafa%3Fhylafa%3Dyxelufqb%26hylafa%3Dvjedcdj@uh-majlhylafa[.]bajarlo[.]com/ 

Googleを騙るフィッシングURL

  • hxxps://accounts[.]google[.]com+signin=secure+v2+identifier=passive@lzx[.]enj[.]mybluehost[.]me/wp-admin/js/nodejs/nodejs/index[.]php?id=20VgVXuB

  • hxxps://google-chat@rb[.]gy/xeokf3

  • hxxps://google[.]com@in11[.]interafricaeng[.]co[.]za/

Facebookを騙るフィッシングURL

  • hxxps://blue-verified-facebook-free@griffin-recorder-observation-pour[.]trycloudflare[.]com/login[.]html

  • hxxps://facebook[.]com@links[.]truthsocial[.]com/link/114903467869602196

  • hxxps://blue-verified-facebook-free@hopkins-ears-tan-fragrance[.]trycloudflare[.]com/login[.]html

Yahooを騙るフィッシングURL

  • hxxps://yahoo[.]co[.]jp/kfjlod/urphnkf/ [email protected] /maz/bfizj/Tx705KuMLowW1htr1q1IkPwO19z2PCTDTd10SWAL700[.]bfizj007

  • hxxps://yahoo[.]co[.]jp/mLKegOVr/BRrrhimou/scZOJaVfVH@fjxgtez-lhgmcoi-bhluwzlqf-wadkiz[.]vnjklhswfg[.]com/

  • hxxps://yahoo[.]co[.]jp/ujpfrh/pjebmep/hbbwu-nplkkqkue609@morimorikasegu[.]com/lmi/hbbwu/2uPLDiGOzdVQqgXU3V1BGxLK5Pxo2hVbNi3tisbyzQE[.]hbbwu609

出典

Retro Phishing: Basic Auth URLs Make a Comeback in Japan

関連記事

TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口 「GMO SK」を名乗る投資アプリで被害発生、GMOは無関係と注意喚起「GMO SK」を名乗る投資アプリで被害発生、GMOは無関係と注意喚起 サイバー攻撃の事例を解説サイバー攻撃の事例を解説 Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散Metaの偽広告がFacebookアカウントをハイジャックしインフォスティーラーを拡散 アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起アメリカの納税シーズンを利用したフィッシング詐欺 キャンペーンの考察と注意喚起 北朝鮮のハッカーが35個の悪意あるnpmパッケージでソフトウェアサプライチェーンへサイバー攻撃北朝鮮のハッカーが35個の悪意あるnpmパッケージでソフトウェアサプライチェーンへサイバー攻撃 npmで発生したサプライチェーン攻撃、Prettier系ツールパッケージがマルウェアに汚染npmで発生したサプライチェーン攻撃、Prettier系ツールパッケージがマルウェアに汚染 ハッカーがサプライチェーン攻撃でnpmパッケージを乗っ取り、週20億ダウンロードを達成ハッカーがサプライチェーン攻撃でnpmパッケージを乗っ取り、週20億ダウンロードを達成 高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで高齢者向けFacebook グループでマルウェアを拡散-端末乗っ取り、資金詐取まで