Microsoftが“お手軽”攻撃ツール「RaccoonO365」のインフラを停止：フィッシングツールをサブスク形式で提供

Microsoftは、サブスクリプション形式のフィッシング攻撃ツール「RaccoonO365」の撲滅に成功したと発表した。その経緯や、RaccoonO365が危険な理由を説明する。

[Alex Scroxton，TechTarget]

　Microsoftは2025年9月、同社のデジタル犯罪対策部門（DCU）が、サブスクリプション形式オフィススイート「Microsoft 365」（旧称「Office 365」）ユーザーの資格情報を狙ったマルウェア「RaccoonO365」のインフラを中断したことを発表した。この作戦を通じて、同社は338件のWebサイトを押収し、RaccoonO365によるMicrosoft 365ユーザーアカウントへのアクセスを遮断した。

94カ国で5000件の認証情報を盗難したRaccoonO365の恐ろしさ

併せて読みたいお薦め記事

Microsoftに関するセキュリティ事件

• Microsoftの「丸見えになったストレージ」は“機密情報だらけ”だった？
• 誰もがぞっとする「Microsoftアカウント」の侵害はなぜ起きたのか

　RaccoonO365（別名「Storm-2246」）は、フィッシング詐欺を簡単に実行するためのツールセットである「フィッシングキット」だ。Microsoftのブランドを悪用し、偽のメールやWebサイトをMicrosoft公式のものに見せかけ、認証情報をだまし取る。PhaaS（サービスとしてのフィッシング）として提供されるため、専門スキルを持たない人でも攻撃を実行しやすいとMicrosoftは説明する。DCUのスティーブン・マサダ氏によると、RaccoonO365は少なくとも94カ国で約5000件の認証情報を盗むために使用された。

　マサダ氏は、「この件は、ソーシャルエンジニアリング（人の心理を巧みに操って意図通りの行動をさせる詐欺手法）が攻撃者にとって有効な手段であることを示している」と述べる。同氏によると、RaccoonO365のようなサービス型攻撃ツールの使用は今後も広がる可能性がある。

　DCUの調査では、RaccoonO365は定期的なアップグレードを通じて機能を強化していた。RaccoonO365の利用者は毎日9000件の標的メールアドレスを登録できる他、多要素認証（MFA）を回避したり、一度侵入した標的PCに永続的にアクセスできる状態を確立したりすることが可能だったという。

首謀者の特定

　今回RaccoonO365を撲滅するに当たって、DCUはナイジェリアを拠点とするジョシュア・オグンディペ氏をRaccoonO365運営グループのリーダーとして特定した。オグンディペ氏を中心とした犯罪グループは、メッセージングアプリケーション「Telegram」を使ってRaccoonO365を販売していたとみられる。DCUによると、RaccoonO365に関するTelegram内のグループには約850人のメンバーが所属していた。

　RaccoonO365撲滅作戦に協力したセキュリティベンダーCloudflareによると、RaccoonO365の利用料は30日間プランが355ドル、90日間プランが999ドルだった。支払いは暗号資産（仮想通貨）で実施されていた。

　DCUはオグンディペ氏について、プログラミングに関する知識を持ち、RaccoonO365の大部分を開発したと推測する。RaccoonO365の販売やカスタマーサポートを担当するメンバーを配置するなど、組織的に運営されていた実態も明らかになった。DCUによると、同氏らは攻撃活動を隠すために、世界中で偽名や偽の住所を使い、複数のインターネットドメインを取得していた。

　サイバー犯罪者の逮捕を巡ってマサダ氏は、国や地域によって法整備が不十分なため、逮捕が困難なケースがあると指摘する。「各国政府はサイバー犯罪に関する法整備を進め、国境を越えた起訴を迅速化することで、サイバー犯罪者が方の抜け穴を悪用できないようにしなければならない」と同氏は述べる。

　マサダ氏は法的な取り組みと並行して、企業や個人が自衛策を講じることの重要性を次のように強調する。「MFAを有効にし、最新のセキュリティツールを活用することが不可欠だ。巧妙化する詐欺の手口に警戒を怠らないよう、常に意識を高めてほしい」