Callback Phishing

コールバックフィッシング（Callback Phishing）とは、メールと電話を組み合わせたハイブリッド型のソーシャルエンジニアリング攻撃です。TOAD（Telephone-Oriented Attack Delivery）とも呼ばれ、まず正規のサービスを装った偽のメール（サブスクリプション更新通知や請求書など）を送付し、被害者に記載された電話番号へ電話をかけさせることで攻撃を開始します。

従来のフィッシングメールはリンクや添付ファイルを通じて攻撃を行うため、メールセキュリティゲートウェイによる検知が可能でした。しかしコールバックフィッシングのメールには、悪意のあるリンクも添付ファイルも含まれていません。電話番号のみが記載されたシンプルなテキストメールであるため、自動的なセキュリティフィルタリングを容易にすり抜けます。

攻撃の本体は電話でのやり取りにあります。被害者が電話をかけると、訓練された攻撃者のオペレーターが対応し、問題を解決するためと称してリモートアクセスツールのインストールを誘導します。これにより攻撃者は被害者のPCに完全なアクセス権を取得し、マルウェアの設置、データの窃取、ランサムウェアの展開などを行います。2021年以降、この手法による被害が急増しており、企業にとって深刻な脅威となっています。

TOAD（Telephone-Oriented Attack Delivery）の攻撃フロー

TOAD攻撃は、典型的に以下の手順で実行されます。まず攻撃者は、有名なサービス（動画配信、セキュリティソフト、クラウドストレージなど）を装った偽の請求通知メールを送信します。メールには「ご契約が自動更新されました」「高額な請求が発生しています」といった緊急性を煽る文面と、「キャンセルをご希望の方はこちらの番号にお電話ください」という案内が記載されています。

被害者が電話をかけると、攻撃者が運営する偽のコールセンターにつながります。オペレーターは丁寧な対応で信頼を獲得しながら、解約手続きやトラブルシューティングを装って、被害者のPCにリモートアクセスツールをインストールさせます。この一連の流れは、すべて電話という人対人のコミュニケーションを通じて行われるため、自動検知が極めて困難です。

BazarCall攻撃キャンペーン

BazarCallは、2021年初頭から確認されたコールバックフィッシングの代表的なキャンペーンです。この攻撃は、BazarLoaderマルウェアの配信手段として開発され、後にConti、Ryukなどのランサムウェアの展開にも使用されました。

BazarCallでは、映画配信サービスやフィットネスジムの会員登録を装ったメールが送信されます。被害者が電話をかけると、オペレーターは「解約手続きのため」として偽のWebサイトに誘導し、マクロ付きの文書ファイルをダウンロード・実行させます。このファイルを開くとBazarLoaderが実行され、最終的にはCobalt Strikeビーコンやランサムウェアが展開されます。

偽サブスクリプション解約の手口

コールバックフィッシングで最も多用されるシナリオが偽のサブスクリプション解約です。攻撃者は「年間プラン（$399.99）が自動更新されました」「48時間以内にキャンセルしない場合、課金されます」といった内容のメールを送信し、被害者の焦りと緊急性を煽ります。

電話を受けたオペレーターは、「解約処理を進めるために、お客様のPCを確認させてください」と告げ、AnyDesk、TeamViewer、ScreenConnectなどの正規のリモートアクセスツールをインストールさせます。これらは正規のソフトウェアであるため、セキュリティソフトによる検知を回避できるのが攻撃者にとっての大きな利点です。

リモートアクセスツールの悪用

攻撃者がリモートアクセスを確立すると、被害者のPCに対して多段階の攻撃を展開します。まず、正規のシステム管理ツール（PowerShell、WMI、BITSAdminなど）を悪用してマルウェアをダウンロード・実行するLiving off the Land（LotL）戦術を使用します。

次に、認証情報の窃取、ネットワーク内の横展開（ラテラルムーブメント）、データの暗号化や窃取へと進行します。攻撃者は「返金手続き中です」「少々お待ちください」と被害者の注意を逸らしながら、バックグラウンドで悪意のある操作を実行します。リモートデスクトップの画面を暗転させたり、偽の更新画面を表示させたりして、被害者に操作を気付かせない工夫も行われます。

攻撃の進化と最新動向

コールバックフィッシングは年々進化を続けています。初期の攻撃は単純なマルウェア配信が目的でしたが、現在ではBEC（ビジネスメール詐欺）との融合、二重恐喝型ランサムウェアの展開、企業ネットワークへの初期アクセスブローカー（IAB）としての活用など、攻撃の目的が多様化しています。

また、AIを活用した音声合成技術の発展により、攻撃者のオペレーターがより説得力のある対応を行えるようになっています。多言語対応のコールセンターを運営するグループも確認されており、日本語を含む非英語圏の組織も標的となるリスクが高まっています。

• 01
  コールバックフィッシングに特化した社員教育：「メールに記載された電話番号には折り返さない」というルールを組織全体に浸透させてください。正規のサービスに問い合わせる場合は、メール記載の番号ではなく、公式サイトから電話番号を直接確認する習慣を徹底しましょう。実際のコールバックフィッシング事例を用いた定期的な訓練も効果的です。
• 02
  リモートアクセスツールの使用制限：AnyDesk、TeamViewer、ScreenConnectなどのリモートアクセスツールの使用をポリシーで制限し、許可されたツールのみをホワイトリストで管理してください。未承認のリモートアクセスツールのインストールを検知・ブロックするエンドポイントセキュリティルールを設定しましょう。
• 03
  メールフィルタリングの強化：リンクや添付ファイルを含まないテキストベースのフィッシングメールを検知するため、メールセキュリティゲートウェイのルールを強化してください。電話番号を含む請求通知メールのパターンマッチング、送信元ドメインの評価、新規ドメインからのメールの隔離などを実施しましょう。
• 04
  多層防御によるエンドポイント保護：EDR（Endpoint Detection and Response）を導入し、リモートアクセスツールの異常な使用パターン、不審なPowerShellの実行、LOLBin（Living off the Land Binaries）の悪用を監視・検知してください。振る舞い検知とAI分析を組み合わせた防御体制を構築しましょう。
• 05
  インシデント報告体制の整備：不審なメールや電話を受けた場合に、従業員が速やかに報告できる体制を整備してください。報告の敷居を下げるために、誤報を責めない文化を醸成し、ワンクリックで報告可能なメールプラグインの導入や、専用のホットラインの設置を検討しましょう。
• 06
  サブスクリプション管理の一元化：組織で利用するSaaSやサブスクリプションサービスの契約を一元管理し、従業員が個別に解約手続きを行う必要がない体制を整えてください。「身に覚えのない請求通知」に対して、管理部門に確認する明確なフローを確立することで、偽の解約誘導に騙されるリスクを低減できます。