フィッシングキット「CoGUI」が日本のユーザーを標的に

佐々山 Tacos

2025.05.07

フィッシングキット「CoGUI」が日本のユーザーを標的に

Securityonline[.]info – May 7, 2025

高度なフィッシングキット「CoGUI」を用いる脅威アクターらが、日本語話者をターゲットに認証情報窃取を試みるキャンペーンを始動させているという。これについて報告したProofpointは、送られるフィッシングメールの件数は毎月数百万件にも及ぶと伝えている。

CoGUIは2024年後半に初めて観測されたフィッシングキットで、ブランドへのなりすまし、検出の高度な回避機能、ブラウザフィンガープリンティングといった手法を用いて日本在住のユーザーへフィッシングを仕掛ける。このツールを用いた攻撃キャンペーンの存在により、日本は2025年初頭の全世界で最もフィッシングに狙われた国の1つに浮上したとされ、2025年1月だけでフィッシングメール件数は1億7,200万件を超えるという。

CoGUIはモジュラー型のフィッシングフレームワークで、以下のような性能や複数の検出回避テクノロジーを備える。

ジオフェンシング：ターゲット以外の国のユーザーへの攻撃を避ける
ヘッダフィルタリング：自動スキャンをブロックする
ブラウザのフィンガープリンティング：リアルなユーザーのみを狙えるようにする

上記の手法を使い、CoGUIは特定の地域（主に日本）のみを選んで攻撃できるようになっている。ほかの国々が狙われたケースもあるが、頻度・ボリュームともに日本への攻撃と比べるとはるかに少なかったという。

Proofpointによれば、CoGUIのキャンペーンは以下のような有名ブランド・企業をルアーに用いて短期間（大抵は3〜5日間）で行われる。フィッシングメールには認証情報を盗み取るためのWebサイトに繋がるURLが掲載されているが、MFA認証情報を窃取する性能は持たないという。

Amazon：あるキャンペーンでは、「アカウントの保護のため、最新の更新をお願いします」という件名のフィッシングメールが送られ、メール内には偽のアマゾン認証ページへのリンクが含まれていた。
PayPay：「【春の大感謝祭】エントリーでAmazonギフト券&10万PayPayポイントをゲット！」という件名のフィッシングメールが送られ、メール内にはPayPay認証ページを模倣したフィッシングページへのリンクが含まれていた。
楽天：「【緊急対応】関税危機へのAI投資戦略：トップアナリスト木野内栄治氏監修ツール限定公開」という、トランプ政権の関税戦略やAIの話題を使った件名のフィッシングメールが送られていた。

Proofpointによる分析の結果からは、CoGUIが複数の中国語話者脅威アクターによって、主に日本在住の日本語話者へフィッシングを仕掛ける目的で使われているものとみられることが示唆されている。同社はまた、CoGUIと別のフィッシングキット「Darcula」のいくつかの共通点にも触れているが、両者は異なるエンティティであると思われるとのこと。