「国境なき記者団」に対するフィッシング攻撃、ロシア系グループが実行か

yab

2025.12.05

「国境なき記者団」に対するフィッシング攻撃、ロシア系グループが実行か

The Record – December 5th, 2025

今年3月、国境なき記者団（RSF）の主要メンバーがProtonMailアカウントからフィッシング攻撃を受けた。攻撃者はロシアの連邦保安庁（FSB）の関与が疑われるCallisto（別名ColdRiver、Star Blizzard）であると推測されている。

サイバーセキュリティ企業Sekoiaによると、RSFのメンバーの1人が今年3月、信頼できる連絡先を装ったProtonMailアカウントからフィッシングメールを受け取った。メールはフランス語で書かれており、正しい署名が使用されていたという。本文では受信者に文書の確認を求めていたものの、ファイルが添付されていなかった。RSFが紛失した文書の送信を求めると、攻撃者は侵害されたWebサイトにホストされているリンクを英語で返信した。このリンクは有害PDFにリダイレクトするものだったが、ProtonMailが攻撃者のアカウントをブロックしたため、ファイル取得には至らずに済んだとのこと。

このようにファイルを添付せず、被害者の返信を待つ方法はCallistoが以前にも用いた手口であるそう。CallistoはColdRiverやStar Blizzardとしても知られ、ロシア連邦保安庁（FSB）との関連が指摘されているグループで、遅くとも2017年から活動を続けている。西側諸国政府や防衛関連企業、研究機関、NGOを標的としたスパイ活動で知られており、近年では親ウクライナ的なNGOや政府機関・組織に対する認証情報窃取活動を行っているとみられる。

ロシア人ジャーナリストの国外逃亡を支援してきたRSFは、2025年8月にロシア政府から「望ましくない組織」の指定を受けているため、同国内でのRSFの活動は事実上犯罪とみなされる。

Sekoiaによると、別組織も同様のルアーで標的にされていたとのこと。おとりのPDF文書を取得すると、ファイルが暗号化されているためProtonDrive経由で開くよう指示され、被害者がリンクをクリックするとProtonMailの認証情報を収集するフィッシングキットにリダイレクトされるという。このキットは、メールアドレスがすでに入力された状態の偽ProtonMailログインページを被害者に提示し、JavaScriptによってカーソルがパスワード入力欄に留まるように仕向けられていたそう。