Cloudflare Shielding Nearly 70% of Active Phishing Kits, New Report Reveals
2025/12/04 gbhackers — SicuraNext の包括的な脅威インテリジェンス調査により、現代のフィッシング・インフラの懸念すべき実態が明らかになった。それにより、活発なフィッシング活動の大部分が、単一の Content Delivery Network (CDN) に保護されていることが判明した。この調査では、フィッシング・キットや C2 (Command and Control) インフラとして実際に機能している、42,000 件以上の検証済みの悪意の URL とドメインが分析された。そこで浮き彫りにされたのは、高度に組織化され運営される犯罪組織が、脅威の形態を根本から変更している状況である。
最も顕著な発見は、フィッシング・エコシステムにおける Cloudflare の優位性である。そのデータによると、追跡対象となったフィッシング・インフラ全体の 68% となる、約 17,202 のドメインが Cloudflare のサービスを基盤として運用されている。
それに続くのが、Google Cloud Platform の 13.5%、AWS の 8.6%、Azure の 5.4% であるが、この集中は単なる偶然ではない。
Cloudflare の無料プランは、脅威アクターにとって魅力的な機能の組み合わせを提供している。具体的には、初期費用ゼロ/エンタープライズ・グレードの DDoS 対策に加えて、オリジン・サーバを調査機関から完全に隠蔽するプロキシ・サービスである。
このプラットフォームの主要 ASN (AS13335) は、世界中のフィッシング攻撃の事実上の拠点となっており、連携するクラスター上で数千もの悪意のドメインをホストしている。
今回の調査で明らかになったのは、異なる運用戦略を持つ二分された脅威のランドスケープである。観測されたインフラのうち、直接ホスティングによるものは 51.54% を占めている。迅速な導入とバーンダウン・サイクルを実現する使い捨てのセットアップを特徴としているため、スミッシング攻撃やヒット・アンド・ラン攻撃に最適である。
サイバー犯罪者は CDN シールドを悪用
残りの 48.46% は、CDN とプロキシによる保護の背後で運用されており、オリジンの難読化と削除対策のために、このプラットフォームを悪用している。
この切り分けは、従来の防御メカニズムに重大な影響を及ぼす。長らくセキュリティの定番と考えられてきた IP ベースのブロッキング保護は、現状において脅威全体の半分しか効果的にカバーできていない。つまり、残りの半分は、プロキシにより保護される環境で動作している。
現代の防御側は、すべての脅威に対処するために、URL フィルタリング/ドメイン・ヒューリスティック/TLS フィンガープリンティングを必要とする。その一方で攻撃者は、低コストで信頼性の低いドメインを放棄し、プレミアムな拡張機能による運用を求めている。
偽装された GitHub OAuth フローや、偽の npm パッケージを用いることで、開発者を標的とする “.dev” ドメインは 7,389 件であり、特に人気が高まっている。また、”.app” 拡張子は、フィッシング・ドメインの 2,992 件を占めている。そして、従来の “.com” ドメインは 11,324 件であり、依然として首位となっている。
こうしたドメインへの移行が示すのは、巧妙な戦略の変更である。攻撃者たちは、明らかなタイポスクワッティングよりも “something.dev” ドメインの方が精査されにくいと見ている。
おそらく、最も懸念されるのは、無料ホスティング・プラットフォームの武器化である。Vercel/GitHub Pages/GoDaddy Sites/Webflow を合わせると、数千ものフィッシング・ページをホストしていることになる。
これらのサービスは、開発者にとって必須であるため、ユーザー組織としては、単純にブロックできない。そのため、フィッシング・ページが信頼できる親ドメインで運営されている場合には、ドメイン・レピュテーション・システムが完全に崩壊するという、セキュリティ対策が極めて困難なシナリオが生じる。
攻撃者が Cloudflare を隠れ蓑として利用する方法
今回の調査で特定されたものには、PhaaS (Phishing-as-a-Service) と呼ばれる、サブスクリプション・ベースの犯罪者向け SaaS プラットフォームもあり、そこでは、MFA バイパス機能を備えたフルスタック攻撃インフラが提供されているという。
EvilProxy や Tycoon 2FA などのサービスは、中間者プロキシとして動作し、正当な認証フローを傍受できるため、パスワードを必要とせずにセッション Cookie を盗み出せる。
これらの悪意のプラットフォームに搭載されるものには、セキュリティ研究者をブロックするためのジオフェンシング/検査のために開かれたページをクラッシュさせる DevTools 検出/Cloudflare CAPTCHA 統合などの高度な回避技術などがある。
分析の結果として、インフラのフィンガープリントを共有する 20種類のフィッシング・クラスターも特定された。それが示唆するのは、スクリプト・キディによる個別的な活動ではなく、協調的かつ集中化された活動である。
脅威アクターの標的設定は、彼らの金銭的な動機を明らかにしている。Meta におけるフィッシングに関する言及は 10,267 件という圧倒的なシェアを占め、追跡されたブランドなりすましの 42% を占めている。つまり、このプラットフォームと 30 億人のユーザーの間で、盗み出された認証情報が取引されている。
その一方で、PayPal と Stripe のなりすましの急増が示すのは、単純な認証情報の窃盗から、直接的な金融詐欺や加盟店アカウントの侵害へと、攻撃者たちの焦点が移動していることである。
この調査結果が示すのは、防御側における決定論的な検出アプローチの放棄の必要性である。
現代の防御のベース・ラインは、CDN 対応の検出/セッション異常に焦点を当てた行動分析/証明書パターンを追跡するための TLS フィンガープリント/PhaaS キャンペーンを特定するためのインフラ・クラスタリングへと移行している。個々のドメインをブロックする時代は終わった。
いまのフィッシング攻撃は、特定の CDN を悪用して大規模に運用されていると分析する記事です。特に Cloudflare などのサービスが提供する保護機能が、攻撃者にとって都合よく働き、インフラの隠蔽に悪用されてしまうことに大きな原因があるとされます。CDN を経由することで攻撃元の捕捉が困難になり、従来の IP ブロックでは対処できない状況が生まれていると、この記事は指摘しています。よろしければ、Phishing での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.