新フィッシングキット「WikiKit」、独特な検出回避術で主要業界を標的に

佐々山 Tacos

2025.10.30

新フィッシングキット「WikiKit」、独特な検出回避術で主要業界を標的に

Securityonline[.]info – December 23, 2024

「WikiKit」と名付けられた新たなフィッシングキットについて、TRAC Labsが報告。この名称は、JavaScriptが無効になっていたり、フィッシングリンクが無効になっている場合にターゲットを正規のWikipediaページへリダイレクトするという独特な機能に由来しているという。

WikiKitによるキャンペーンが始まったのは、2024年10月。自動車、製造、医療、建設、コンサルティング、およびエンタテインメント業界が標的になっている。TRAC Labsによれば、WikiKitのキャンペーンで特徴的なのがフィッシングサイトのランディングページがJimdositeでホストされている点だという。ページの背景にはなりすまし対象企業のロゴが設置されており、ターゲットユーザーに「Review Document Here（こちらからドキュメントをレビュー）」というボタンをクリックするよう促す。そして騙されたユーザーがこれをクリックすると、認証情報を盗み出すためのページへとリダイレクトされることになる。

またWikiKitのキャンペーンでは、以下に挙げるようなソーシャルエンジニアリング戦術が採用されているという。

スプーフィングされたリンク：漏洩したメールアカウントから送られてくるフィッシングメールには、正規のSalesforce URLに似せたリンクが含まれている（例：hxxps://app.salesforceiq[.]com/r?…）。これにより、ターゲットユーザーの信頼が育まれる。
動的ブランディング：ユーザーによってEメールアドレスが入力されると、フィッシングページはその情報に基づいて適当なロゴや背景を使用するなど、正規のプラットフォームを装えるよう動的にブランディングを調整する。
CAPTCHA検証：ユーザーはCloudflare Turnstile（CAPTCHAの代替ソリューション）をパスすることを求められるため、サイトの信憑性は高いように見える。

TRAC Labsはさらに、フィッシングフローにおいて匿名化サービスであるhref.liが巧みに用いられている点にも言及。これは、改ざんやデバッグが検出された場合にユーザーをWikipediaページへ飛ばすために使われており、具体的なリンクには以下のようなものがあるという。

https://en.wikipedia.org/wiki/Category:Office_365
https://en.wikipedia.org/wiki/List_of_Microsoft_365_Applications

WikiKitはこのほか、デバッグ抑止戦略など、分析に対抗するための戦略も複数採用しているとされる。フィッシングサイトはjimdosite.comやyugaljeeautomotive[.]comといったドメインでホストされるURLが使われることから、組織にはこれらおよび似たようなインジケーターをモニタリングし、防御を強化することが推奨される。