Zoomを装った巧妙なフィッシング詐欺-「緊急会議」メールで企業アカウントが狙われる

セキュリティニュース

投稿日時: 更新日時:

Zoomを装った巧妙なフィッシング詐欺-「緊急会議」メールで企業アカウントが狙われる

日常業務において欠かせない存在となったZoomですが、その利便性を逆手に取った極めて巧妙なフィッシング詐欺が確認されています。

今回報告された事例では、「緊急のZoom会議への招待メール」に見せかけたフィッシングメールを使い、Zoom Workplaceのログイン情報(企業アカウント)を盗み取る攻撃が展開されました。

この攻撃は、セキュリティ企業Cofenseが発見したもので、心理的な“焦り”と“信頼感”を悪用した高度な手口が特徴です。

詐欺の手口:Zoom会議を装い、パスワード入力を誘導

攻撃の第一段階は、次のような緊急性を演出するメールの受信から始まります:

  • 件名:「URGENT – Emergency Meeting(緊急 – 緊急会議)」

  • 本文:「Critical issue」「time-sensitive」「as soon as you can」など、受信者の不安を煽る文言が多用される

  • 表示リンクはZoomに見えるが、実際は複数のリダイレクトを経て、最終的には偽のZoomページに誘導される

ZOOMフィッシングメール

参照:Cofense

ユーザーがリンクをクリックすると、「会議に参加中…」という見慣れたZoomのインターフェースが表示され、

以下一部の映像では人物が手を振るなどリアルさを演出。

参照:Cofense

やがて「接続タイムアウト」のエラーメッセージが表示され、Zoom Workplaceのログイン画面に遷移します。

参照:Cofense

このログイン画面は、本物と見分けがつかないほど精巧に作られており、メールアドレスが自動で入力された状態になっていることもあります。受信者が疑うことなくパスワードを入力してしまうと、その情報は攻撃者が操作するTelegramアカウントに即時送信されます

技術的背景と悪用されたリンク構造

この攻撃では、複数の正規サービスが踏み台(中継地点)として悪用されていました

  • Cirrus Insight:CRMツールのトラッキングURLが第一段階

  • ebext.in / hubs.ly:短縮URLサービスや中継ドメイン

  • 最終リンク(pub-51656ae3d0ef4f2ba59cdfc6830c8098.r2.dev):フィッシングページ本体

また、フィッシングページに表示されるURL末尾には #[email protected] のような形式でターゲットのメールアドレスが埋め込まれており、ユーザーの警戒心を下げる仕組みになっています。

入力された情報は、以下のIPアドレス経由でTelegramボットを通じて攻撃者に転送されていることが確認されました

  • Telegram API IP:149.154.167.220

  • その他関与IP:104.16.6.207、172.67.193.64、162.159.140.237 など

なぜこの攻撃が成功しやすいのか?

この手口は、以下の理由で非常に高い成功率を誇ると分析されています:

  1. Zoomという日常的ツールの悪用
    Zoomは多くの企業における業務インフラの一部となっており、「会議に急いで参加しなければ」という心理的プレッシャーが判断力を鈍らせます。

  2. 実在するサービス名を用いたURLのカモフラージュ
    最初のリンクがCRMツールや既知のURL短縮サービスで始まるため、スパムフィルターを回避しやすい構成になっています。

  3. 偽のZoom画面の完成度が極めて高い
    単なる静的画面ではなく、「接続中」アニメーションや実在する人物のような映像付きで、ユーザーに疑念を抱かせない巧妙な作りです。

  4. ログインフォームの事前入力
    メールアドレスが入力済みの状態で表示されることで、ユーザーに「これは社内連携された安全なログイン画面だ」と誤認させやすくなっています。

企業が取るべき対策

この攻撃に対して、組織や情報システム部門が取るべき対策は以下の通りです:

セキュリティ教育と即時通報ルールの徹底

  • 「緊急会議」などのメールに過剰に反応しないこと

  • 不審なリンクやURLをクリックした場合は必ず速やかに報告することを徹底

メールフィルタとリンク検査の強化

  • 短縮URLやURLリダイレクトを使った攻撃を検出できるセキュリティゲートウェイを導入

  • 正規Zoom URL(zoom.us / zoom.com)以外のドメインを警告対象にする

MFA(多要素認証)の必須化

  • Zoom Workplaceや関連業務ツールに多要素認証を導入しておくことで、仮にID・パスワードが盗まれても被害を防ぐ可能性が高まります

Zoom招待の正規化ルール

  • 社内Zoom会議は必ず「カレンダー経由の招待」または社内ポータルに掲載するなど、不正リンクと正規招待の見分けがつく仕組みづくりも重要です

 

参照

https://cofense.com/blog/fake-zoom-call-lures-for-zoom-workplace-credentials