マルバタイジングとフィッシングキャンペーンでホテル業界のアカウントが攻撃の標的に

Daniel López
サイバー脅威リサーチャー
August 29, 2025

このブログはこちらの英語ブログ(2025年8月29日公開)の機械翻訳です。

Oktaの脅威インテリジェンスチームは、ホテルやバケーションレンタルに特化したサービスプロバイダー少なくとも12社以上を装った大規模なフィッシングキャンペーンを追跡しています。

この攻撃では、ターゲットとなったユーザーを非常に巧妙なフィッシングサイトに誘導するために、悪意ある検索エンジン広告、特にGoogle検索などのプラットフォーム上のスポンサー広告が使用されていました。この攻撃は、精巧に偽装されたログインページとソーシャルエンジニアリングの手口を活用して、セキュリティ制御を回避し、ユーザーの信頼を悪用するものです。

私たちは、少なくとも13社のホスピタリティ企業がこの偽装に使われていたことを確認しています。

このフィッシングの誘導手法とターゲットの傾向から見て、このキャンペーンはクラウドベースの物件管理プラットフォームやゲストメッセージングプラットフォームのアカウントを乗っ取ることを目的としているようです。

初期アクセス

このキャンペーンでは、マルバタイジング(悪意ある検索エンジン広告の購入)が使用されており、偽装されたホスピタリティやバケーションレンタル企業のユーザーをだまして誘導していました。

たとえば、ある企業名で検索すると、次のように悪意あるサイトへ誘導する複数のスポンサー広告が表示されることがあります:

IMG 6695

図1. 正規ドメインよりも上位に表示された、2つの偽サイトの例
 

roomraccoon malvertising

図2. 別のフィッシングサイトに誘導するマルバタイジングの例

観測されたドメインは、正規サイトのスペルをわずかに変えたタイポスクワッティング(typosquatting)の手法を使っていました。

こうした悪意あるドメインにアクセスすると、ユーザーは偽のログインページを提示されます。少なくとも13社のホスピタリティ企業を装った多数のフィッシングサイトが確認されました。

IMG 6708

図3. Oracle Hospitalityも偽装に使われた多数のサービスプロバイダーのひとつ

このフィッシングキャンペーンの誘導手口と標的から見て、目的はやはりクラウドベースの物件管理やゲストメッセージングプラットフォームのアカウントを侵害することにあると推測されます。

戦術・技術・手法(TTP)

このキャンペーンの第一段階の目的は、認証情報の窃取です。フィッシングページは、ユーザー名、メールアドレス、電話番号、パスワードを取得するように設定されています。

さらに、観測されたアクティビティからは、多要素認証(MFA)コードの回避または収集を狙った意図も確認されています。たとえば、いくつかのフィッシングページでは「ワンタイムパスワード」の入力を求めたり、「SMSコードでログイン」「メールコードでログイン」などの選択肢を提示していました。

airbnbnph1 copy

図4. Airbnbを装ったフィッシングサイトのスクリーンショット
 

airbnbphotp

図5. 電話番号を入力すると、SMSで送信されるOTPコードの入力が求められる
 

これらのサイトのソースコードを調査すると、以下のような記述が確認されました:

Screenshot 2025 08 29 at 17.14.52

この中のメッセージ:

  • “Ошибка запроса” = 「リクエストエラー」
     
  • “Запускаем запрос каждые 10 секунд” = 「10秒ごとにリクエストを実行します」
     

これらは、ロシア語を話す攻撃者による関与の可能性を示唆しています。また、攻撃者のサインインアクティビティには、大規模なロシアのデータセンタープロキシプロバイダーの利用も確認されました。

このキャンペーンではさらに、ビーコン(Beacon)技術を使って、トラッキングと分析を行っていました。これにより、攻撃者はフィッシングページにアクセスした被害者に関するリアルタイム情報を取得できます:

  • ビジターアナリティクス
     
  • ジオロケーションとターゲティング
     
  • セッション時間
     
  • ボット検出
     
  • ステータス監視
     

Oktaのお客様は、security.okta.com のOkta Threat Intelligenceから詳細なIoC(侵害の兆候)情報をご確認いただけます。

対策(Mitigating Controls)

  • 顧客やパートナーには、パスキーなど所有要素ベースの強固な認証手段を優先的に登録させ、フィッシング耐性を確保しつつユーザー負荷を最小限に抑える。
     
  • 社内ユーザーには、Okta FastPass、パスキー(FIDO2 WebAuthn)、スマートカードなどの強固な認証手段を登録させ、ポリシーでフィッシング耐性を強制する。
     
  • 使用頻度の低いネットワークからのリクエストに対しては拒否または高保証レベルを要求する。
     
  • 過去のユーザーアクティビティと逸脱するアプリケーションアクセス要求を検知し、適応型リスク評価に基づく対応を自動化する。
     
  • 不審なドメインの登録を監視し、提供されるコンテンツに変化がないか観察する。アプリケーションログを確認し、疑わしいドメインとの通信履歴を特定する。もし著作権や商標の侵害があれば、証拠を添えてドメインレジストラやホスティングプロバイダーに削除申請を行うことを検討する。
     
  • マルバタイジングやフィッシングキャンペーンが自社ブランドを標的にしている兆候が見られた場合はユーザーに警告を出す。
     
  • ユーザーアカウント上で不審なアクティビティが確認された場合は、エンドユーザーに通知する。
     

本調査にはMoussa Dialloも貢献しました。

以上の内容は、原文(英語)の機械翻訳であり、原文と内容に差異がある場合は、原文が優先されます。

Daniel López
サイバー脅威リサーチャー

Daniel LópezはOktaのサイバー脅威リサーチャーとして、脅威アクターの活動と進化する脅威状況を追跡し、Oktaの従業員と顧客を保護する役割を担っています。Okta入社以前は、コンサルティング、金融サービス、テクノロジー分野の国際企業で活躍。インフォセック系の信頼できるコミュニティへの参加、技術・非技術問わずの学び、そして体を動かすことを楽しんでいます。

Previous
Next

August 18, 2025

Okta for Good活動報告:BLUE SANTAごみ拾い2025に参加しました

By Okta
「誰もが居場所を持ち、繁栄し、より安全につながった世界を築く」— これは、Okta for Goodが掲げるビジョンです。Okta Japanではこのビジョンのもと、様々な社会貢献活動に取り組んでおります。今回は、先日7月21日(月・祝・海の日)に江の島で開催された「BLUE SANTAごみ拾い2025(第213回…

今すぐ読む

July 31, 2025

はじめてのOkta Workflowsシリーズ 第10回 SMS/通話のMFAを外部テレフォニープロバイダに接続

By Hiroki Oikawa 及川大樹
目次  SMS / 通話と Okta テレフォニーインラインフック Okta テレフォニーインラインフック機能提供の経緯 インラインフックとは - ふたつの Webhook Okta テレフォニーインラインフック不成功時のフォールバック  SMS / 通話による認証の流れ エンドユーザーの事前準備:電話番号の登録…

今すぐ読む

July 14, 2025

人間ユーザーを超えて:AIエージェントのためのアイデンティティガバナンスが次の大きな課題である理由

By Elizabeth Baier
このブログはこちらの英語ブログ(2025年7月14日公開)の機械翻訳です。 エージェント型AIは、効率性とイノベーションの新たな可能性をもたらしますが、同時にサイバーセキュリティにおける新たな課題ももたらします。それは、非人間AIアイデンティティの保護です…

今すぐ読む

July 11, 2025

Okta Platformの日本語でのリリースノート/ドキュメント検索機能提供のお知らせ

By 井坂 源樹
Okta Platformの日本語でのドキュメント提供、Admin Consoleの日本語化を行ってきましたが、今回新たに日本語でのリリースノート提供と日本語でのドキュメント検索が可能になったことをお知らせします。また、今後、英語版のリリースノートとドキュメントの更新から約1週間以内に日本語版に反映されるようになり…

今すぐ読む

July 11, 2025

あなたのMFA適用状況に潜む意外な事実

By Orr Dermer
このブログはこちらの英語ブログ(2025年7月11日公開)の機械翻訳です。 ある質問には、単純に「はい」か「いいえ」で答えるのが一番です。たとえばレストランに電話して「午後2時に予約できますか?」と聞いたとき、返ってくる妥当な答えは「はい」か「いいえ」、もしくは「外の席ならご案内できますが、よろしいですか?」でしょう…

今すぐ読む