大規模なホエーリング攻撃の発見
サイバーセキュリティ専門家が2025年で最も巧妙な暗号通貨を標的としたフィッシング攻撃キャンペーンの一つと呼ぶ事件において、脅威アクターが著名なフランスの暗号通貨ニュースレターThe Big Whaleになりすまし、ヨーロッパと北アメリカの高額純資産暗号通貨投資家から認証情報と機密情報を組織的に収集していました。
6月初旬に最初に検出されたこのキャンペーンは、すでに3,000以上の電子メールアカウントを侵害し、数百万ドル相当の暗号通貨資産を潜在的に危険にさらしています。この攻撃を特に危険にしているのは、従来のセキュリティ対策を巧妙に回避する高度な電子メールヘッダー操作技術の使用です。
「これは典型的なフィッシング攻撃ではありません。攻撃者は電子メール認証プロトコルの深い知識を実証し、SPFチェックを通過しながらDKIMの脆弱性を悪用するメッセージを巧妙に作成しています。技術的な洗練さと組み合わされたソーシャルエンジニアリングの傑作です。」
— Marcus Chen、CryptoDefense Labs最高セキュリティ責任者
攻撃の技術的解剖
私たちの調査により、成功率を最大化するために複数の攻撃ベクトルを組み合わせた多層アプローチが明らかになりました。フィッシング電子メールは、経験豊富なユーザーでも騙される可能性のある一見正当なヘッダーで到着します。
観察された電子メールヘッダー操作技術:
- サブドメインスプーフィングを使用したSPF回避:攻撃者は「thebig-whale.io」や「the-bigwhale.com」などの有効なSPFレコードを持つドメインを登録
- DKIM署名インジェクション:侵害されたメールサーバーからの有効なDKIM署名を使用して認証を通過
- DMARCポリシー悪用:「p=none」DMARCポリシーを持つ組織をターゲット
- リターンパス操作:疑いを避けるために正当に見えるリターンアドレスを使用
攻撃インフラストラクチャ:
- コマンド&コントロールサーバー:7つの異なる国に設置
- 登録されたフィッシングドメイン:45以上のタイポスクワッティングバリエーション
- 特定された電子メールテンプレート:4言語で12の独自バリエーション
- 推定被害者数:3,000以上確認、潜在的に10,000以上がターゲット
詳細分析:メールヘッダーフォレンジック
捕獲されたフィッシングメールの分析により、表面的な検査では見過ごされる可能性のある巧妙なヘッダー操作が明らかになりました。以下は使用された技術の詳細です:
1. SPFレコード操作
攻撃者は技術的には検証を通過するが、悪意のあるインフラストラクチャから発信されるSPFレコードを作成しました:
Received-SPF: pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
Authentication-Results: mx.google.com;
spf=pass (google.com: domain of noreply@thebig-whale.io designates 185.156.177.234 as permitted sender)
2. DKIM署名分析
正規のBig Whaleは特定のDKIMセレクターを使用していますが、フィッシングメールは侵害された、または偽造された署名を示しています:
DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
d=mailservice-provider.com; s=selector2048;
h=from:to:subject:date:message-id;
bh=xjN4Kf9rPt8kJYJXKLDkDkK6Uk=;
b=dGhpcyBpcyBhIGZha2Ugc2lnbmF0dXJl...
3. X-Originating-IP露出
複数のフィッシングメールがX-Originating-IPヘッダーを通じて意図せずに真の発信元を露出し、東欧および東南アジアの既知のサイバー犯罪インフラストラクチャとの接続を明らかにしました。
暗号通貨コミュニティへの影響
詳細な暗号通貨市場分析で知られ、10万人以上の購読者を持つBig Whaleニュースレターは、サイバー犯罪者にとって魅力的ななりすましターゲットとなっています。このフィッシングキャンペーンは特に以下を標的としています:
- 高資産価値個人:大量のBitcoinおよびEthereumポジションを保有する暗号通貨クジラ
- DeFiプロトコルユーザー:ウォレット接続とシードフレーズの収集を標的
- 機関投資家:取引所APIへのアクセス権を持つ企業メールアカウント
- ニュースレター購読者:Big Whaleブランドへの信頼を悪用
被害者は、Big Whaleのデザイン美学を完璧に模倣したメールを受信したと報告しており、これには彼らの特徴的なネイビーブルーの配色とミニマリストなフランス風タイポグラフィが含まれています。これらのメールは通常、「限定投資機会」や暗号通貨ポートフォリオの「セキュリティアップデート」に関連する緊急のコールトゥアクションを含んでいます。
高度なメールスプーフィングに対する防御
このキャンペーンの巧妙さは、組織がメールセキュリティプロトコルを実装する方法における重要な脆弱性を浮き彫りにしています。以下は必須の防御メカニズムです:
組織向け:
- 厳格なDMARCポリシーの実装:「p=none」から「p=quarantine」または「p=reject」に移行
- 定期的なSPFレコード監査:すべての正規送信ソースが適切に設定されていることを確認
- DKIMキーローテーション:侵害の影響を最小化するため四半期ごとのキーローテーションを実装
- ヘッダー分析ツール:メールヘッダーの異常を検査する自動化ツールを展開
- ユーザー意識向上トレーニング:巧妙なフィッシング攻撃の識別についてユーザーを教育
個人ユーザー向け:
- 送信者アドレスの慎重な確認:微妙なタイポスクワッティングの変化を探す
- メールヘッダーの確認:「オリジナルを表示」機能を使用して認証結果を検査
- 緊急リンクをクリックしない:正規のサービスが即座の行動を要求することは稀
- ハードウェアウォレットの使用:シードフレーズをオンラインで入力しない
- すべての場所で2FAを有効化:認証情報が侵害されても追加の保護
侵害指標(IoCs)
セキュリティチームは、このキャンペーンに関連する以下の指標を監視する必要があります:
悪意のあるドメイン(部分リスト):
- thebig-whale[.]io
- the-bigwhale[.]com
- bigwhale-newsletter[.]eu
- thebigwhale-crypto[.]com
- newsletter-bigwhale[.]org
C2インフラストラクチャに関連するIPアドレス:
- 185.156.177[.]234 (Moldova)
- 45.142.212[.]100 (Netherlands)
- 193.42.33[.]210 (Russia)
- 103.75.119[.]157 (Singapore)
メール件名パターン:
- "🐋 限定アラート:限定Bitcoin機会"
- "緊急:暗号通貨ポートフォリオのセキュリティアップデートが必要"
- "Big Whale特別レポート:今すぐ行動を"
- "Big Whale購読者限定エアドロップ"
継続中の調査と対応
複数の管轄区域の法執行機関が、犯人を追跡するための取り組みを調整しています。正規のBig Whaleニュースレターは購読者ベースに警告を発し、追加の認証措置を実装するためにメールセキュリティプロバイダーと協力しています。
「犯罪者が私たちのブランドを悪用して暗号通貨コミュニティを標的にしていることに憤りを感じています。私たちはBIMI(メッセージ識別のためのブランド指標)を実装し、主要なメールプロバイダーと協力して、正規のメールが明確にマークされるようにしています。」
— Big Whale編集チームからの声明
調査により、暗号通貨盗難を専門とする以前に特定されたサイバー犯罪グループとの関連が明らかになり、暗号通貨分野におけるLazarus Groupの最近の活動との潜在的な関連が示されています。しかし、侵害されたインフラストラクチャと偽旗作戦の使用により、帰属の特定は困難なままです。
暗号通貨におけるメールセキュリティへの影響
このキャンペーンは暗号通貨を標的としたフィッシングの進化を表しており、攻撃者が現代のメールセキュリティ対策を回避するために多大なリソースを投資していることを示しています。暗号通貨業界は独特の課題に直面しています:
- 高価値ターゲット:暗号通貨保有者はサイバー犯罪者にとって収益性の高いターゲットです
- 不可逆的な取引:従来の銀行業務とは異なり、暗号通貨取引は取り消すことができません
- 匿名性:正当な通信を検証することの困難さ
- 急速なエコシステムの変化:新しいプロトコルとプラットフォームが新たな攻撃面を生み出します
業界は、特に高額取引や機密操作において、メール通信に対してゼロトラストアプローチを採用する必要があります。これには、重要なリクエストに対する帯域外検証の実装と、進化する脅威の状況についてユーザーを教育することが含まれます。