1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 日本の金融機関を標的としたフィッシングによる大規模なサイバー攻撃-フィッシングキット「CoGUI」を利用か

日本の金融機関を標的としたフィッシングによる大規模なサイバー攻撃-フィッシングキット「CoGUI」を利用か

セキュリティニュース

投稿日時: 更新日時:

日本の金融機関を標的としたフィッシングによる大規模なサイバー攻撃-フィッシングキット「CoGUI」を利用か

2025年4月、日本の証券会社や銀行などの金融機関を標的としたフィッシングメールによる大規模なサイバー攻撃が発生し、証券会社のオンライン口座が不正アクセスを受け、約954億円相当の不正取引が確認されました。この攻撃の背後には、「CoGUI(コグイ)」と呼ばれる高度なフィッシングキットの存在が指摘されています。本記事では、Proofpoint(プルーフポイント)の調査を基に、CoGUIの特徴とその影響について解説します。

CoGUIフィッシングキットの概要

Proofpoint(プルーフポイント)の調査によると、CoGUIは主に日本のユーザーを標的としたフィッシングキットであり、Amazon、PayPay、楽天などの著名なブランドを装ったメールを大量に送信しています。

これらのメールは、ユーザーの認証情報や支払い情報を盗み取ることを目的としています。2025年1月には、1か月で1億7200万通以上のCoGUI関連のメールが確認されました。

図1

画像:Proofpoint(プルーフポイント)

フィッシングメールの配信に利用されているブランド

CoGUI キャンペーンの大半は Amazon を偽装していますが、Proofpoint の研究者は、脅威アクターが決済カード、交通カード、大手銀行、楽天や Apple 、PayPayなどの小売業者、日本の国税庁を偽装していることも確認しています。

図3

画像:Proofpoint(プルーフポイント)

Amazonの例 

Proofpoint(プルーフポイント)は2025年3月24日から30日にかけて観測されたキャンペーンでは、「アカウントを保護するために、アカウントを更新してください」という件名のAmazonからのメッセージを装ったものがありました。 

図2

メッセージには、CoGUI フィッシング キットを利用し、ユーザーの認証情報と支払い情報を収集するように設計された偽の Amazon 認証ページにつながる URL (  “codeName”:”日亚amazon无账单” )が含まれていました。

このキャンペーンではユーザーは Amazon アカウントのユーザー名とパスワードを入力するように指示されます。 

図3

その後、ユーザーは支払い情報を入力するよう指示され、ユーザー名とパスワード、そしてクレジットカード情報が盗まれます。これは、小売業者をテーマにしたCoGUIキャンペーンの標準的な攻撃の流れです。

  図4

画像:Proofpoint(プルーフポイント)

対象のブラウザをプロファイルして、対象外の場合は正規サイトへリダイレクト

CoGUIはフィッシングページを表示する前に、被害者のブラウザをプロファイリングします、地理的制限(ジオフェンシング)、ヘッダーフィルタリング、ブラウザのフィンガープリンティングなどの高度な回避技術を使用しており、自動分析やサンドボックス環境での検出を回避します。

ブラウザプロファイルの検証が満たされない場合、CoGUIは被害者を正規のウェブサイトにリダイレクトします。例えば、フィッシングが「Amazon.co.jp」を偽装している場合、被害者は正規の日本のAmazonウェブサイトにリダイレクトされます。 

ターゲットプロファイリングの流れ

ジオフェンシング(地理的制限)

CoGUIは、日本のIPアドレスからのアクセスのみを対象とし、その他の国からのアクセスには本物のサイトへリダイレクトします。これにより、海外のセキュリティ企業や脅威インテリジェンス研究者による検知を逃れることができます。

ブラウザプロファイリング

フィッシングページを表示する前に、以下の情報をJavaScriptで収集します。

  • ブラウザの種類(Chrome, Safari, Firefox等)

  • ブラウザバージョン

  • OSの種類(Windows, Android, iOS)

  • 画面サイズ

  • モバイル端末かどうか

  • 言語設定(例:lang="jp"

これらの情報が想定するターゲット像と一致しない場合、表示されるのは本物のAmazonや楽天の公式サイトであり、疑われる可能性を最小限に抑えています。

ヘッダーフィルタリング

HTTPヘッダーの情報(User-Agent, Referer, Accept-Languageなど)を検査し、セキュリティベンダーの既知のスキャナーやボットからのアクセスと判断されると即座にアクセスを拒否します。

コードの動的読み込み

CoGUIのフィッシングページは、初期ロード時には極めて簡素なHTML構造を持ち、JavaScriptとCSSはランダムな文字列のファイル名(例:g43k2.js)で動的に読み込まれます。これにより、静的解析では本質的な挙動を把握しにくくなっています。

金融庁の警告と被害状況

2025年4月、金融庁は、証券会社のオンライン口座を標的とした不正アクセスが急増していることを公表しました。2月から4月中旬までの間に、12の証券会社で1454件の不正取引が確認され、売却額は約506億円、買付額は約448億円に上ります。攻撃者は、フィッシングサイトを通じてユーザーの認証情報を盗み取り、被害者の口座から株式を売却し、その資金で中国株などを購入する手口を用いていました。

結論:組織は何をすべきか?

  • 攻撃の特徴をインシデント対応計画に取り入れる

  • 国内ブランドを模倣したフィッシングへの即応体制を整備する

  • 多層的な認証(FIDO、物理セキュリティキー)を導入する

  • 従業員への継続的なフィッシング訓練を実施する

「巧妙なフィッシング」は単なる迷惑行為ではなく、金融資産の搾取や相場操縦を可能にする国家規模のサイバー犯罪へと進化しています。CoGUIは、その代表格であり、日本企業が今、最も警戒すべき脅威の一つです。

一部参照

https://www.proofpoint.com/us/blog/threat-insight/cogui-phish-kit-targets-japan-millions-messages

関連記事

Proofpointの設定を悪用され何百万通のフィッシングメールが送信されるProofpointの設定が悪用され何百万通のフィッシングメールが送信される 偽のグーグルクロームアップデートでPowerShellを実行させる偽のグーグル クロームのエラーで悪意のあるPowerShellを実行させるよう誘導-ClickFixによるソーシャルエンジニアリング ハッカーがMITテクノロジーレビューへサイバー攻撃を主張 29万件のデータを窃取ハッカーがMITテクノロジーレビューへサイバー攻撃を主張 29万件のデータを窃取 ランサムウェア 事例 【2024年】サイバー攻撃の事例 【2024年】 アマゾン、過去に発生した不正アクセスによる情報漏洩を認めるアマゾン、過去に発生した不正アクセスによる情報漏洩を認める Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋Oracle、不正アクセスによる情報漏洩を一部顧客に非公開で通知-訴訟提起直後の“静かな認定”に波紋 VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085)VMware ESXiの脆弱性をランサムウェア 攻撃グループが悪用(CVE-2024-37085) 井関農機株式会社(ISEKI)へ8BASEが不正アクセスと情報窃取を主張井関農機(ISEKI)へ8BASEが不正アクセスと情報窃取を主張 Oracle Cloudへの不正アクセス、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)Oracle Cloudへの不正アクセスと情報漏洩 疑惑、Oracle Fusion Middlewareの脆弱性を悪用か(CVE-2021-35587)