Cloudflare、RaccoonO365を阻止する世界規模の活動に参加
脅威概説 - 2025年9月10日
概要
CloudflareのCloudforce OneとTrust & Safetyチームは、Microsoftと提携し、RaccoonO365として知られるフィッシング・アズ・ア・サービス(PhaaS)犯罪企業を成功裏に阻止しました。このレポートは、Microsoft 365の認証情報を狙った高度なフィッシング作戦に対して取られた技術的および法的な連携措置について詳述しています。RaccoonO365グループは、Cloudflareサービスや他のインフラプロバイダーを悪用して、フィッシングキットの検出を回避しようとしました。
Cloudflareの対応は、事後の単一ドメインの削除から、当社のプラットフォーム上でアクターの運用インフラを解体することを目的とした、事前の大規模な妨害への戦略的転換を示しています。2025年9月上旬に協調的な措置を講じることで、RaccoonO365の運用コストを大幅に増加させ、他の悪意のある主体に明確なメッセージを伝達:無料プランは犯罪組織にとって高すぎる代償となる。
概要
CloudflareはMicrosoftと提携し、フィッシング・アズ・ア・サービス(PhaaS)を提供する犯罪企業RaccoonO365に対して措置を講じました。
このキャンペーンの主な攻撃ベクトルは、Microsoft 365の認証情報を盗むために設計されたフィッシングキットでした。キットは、シンプルなCAPTCHAページとボット対策技術を使用して分析を回避し、被害者に合法的に見せかけるものでした。
アクターの最終的な目標は、被害者のアカウント(OneDrive、SharePoint、メールなど)から盗まれた資格情報、Cookie、データを加入者に提供することであり、それによって金融詐欺や恐喝、またはより大規模な攻撃の初期アクセスを可能にすることでした。
2025年9月初旬、当社のサービスに対するフィッシングの悪用防止の戦略的な取り組みとして、Cloudflareは脅威アクターに関連する数百のドメインとWorkerアカウントの協調的な閉鎖を実行し、当社のネットワーク上のインフラを効果的に解体しました。この措置は、8月下旬に提起された民事訴訟を通じて、Microsoftのより広範な取り組みと協調して行われました。
このレポートは、アクターのTTP、当社の軽減戦略、および侵害の指標(IoC)の技術的詳細を提供し、他者がこの脅威や類似の脅威に対抗するのを支援します。
RaccoonO365とは?
RaccoonO365は、Microsoft 365ユーザーを広く標的とするように設計されたPhaaSモデルを運用する、金銭的動機に基づく犯罪組織であり、加入者が独自の認証情報収集キャンペーンを実行できるようにするものです。Microsoftによれば、2024年7月以降、94か国で少なくとも5,000件のMicrosoft認証情報を盗むためにRaccoonO365のキットが使用されています。被害者に送られるメールには、通常、リンクやQRコードが添付されています。悪意のあるリンクは、簡単なCAPTCHAがあるページに誘導します。CAPTCHAが解決されると、ユーザーは資格情報を収集するために設計された偽Microsoft O365ログインページにリダイレクトされます。成功すると、この活動はしばしばマルウェアやランサムウェア感染の前兆となります。
このグループはプライベートなTelegramチャンネルを通じて「RaccoonO365 Suite」のサブスクリプションを販売しており、2025年8月25日現在、845名のメンバーがいます。このプラットフォームは段階的な価格設定モデルを採用しており、短期的なテスターから継続的なキャンペーンを実施している者まで、さまざまな犯罪者に訴求するように提供されています。プランは、30日間のプランで355ドル、90日間のプランで999ドルなど、さまざまな期間で販売されています。このサービスでは、USDT(TRC20、BEP20、Polyagon)やビットコイン(BTC)を含む暗号通貨のみを受け付けています。
RaccoonO365は犯罪サービスをプロフェッショナルな価格表で販売し、暗号資産での支払いを受け付けています。
RaccoonO365は、犯罪者層の顧客に対しサービスの安全性と匿名性を保証するため、「完全管理型」で「防弾VPS」上にホストされ、「バックドアゼロ」「追跡ゼロ」を謳ってサービスを販売しています。彼らは、サイバー犯罪者が多要素認証(MFA)をバイパスして高度なフィッシングキャンペーンを実行する際の障壁を下げる、包括的なツールとサービスのスイートを提供し、PhaaSモデルを体現しています。
RaccoonO365犯罪組織の公開ポータルで、Microsoftのセキュリティ対策を回避するための「二要素認証リンクサービス」を宣伝しています。
Microsoftはこのグループのリーダーをナイジェリアに拠点を置くJoshua Ogundipeと特定しましたが、Telegramのボットの名前にロシア語が使用されていることなどの証拠から、同グループが��ロシア語圏のサイバー犯罪者と協力していたことが示唆されています。
キャンペーン分析と脅威の内訳
攻撃チェーン
RaccoonO365の攻撃チェーンはステルス性を重視して構築されており、セキュリティ対策を迂回し、ユーザーの疑念を回避します。
1. 初期の罠
RaccoonO365は、いくつかの異なるフィッシング手法を採用しました。DocuSign、SharePoint、Adobe、Maerskなどの信頼されるブランドになりすました複数の認証情報フィッシングキャンペーンを観測しました。それとは別に、添付ファイルや画像ベースのリンクを配信手段として使用した、PDFベースの複数のキャンペーンを特定しました。これらの添付ファイルには、悪意のあるQRコードまたは被害者をフィッシングページにリダイレクトするリンクが埋め込まれたクリック可能な画像が含まれていました。
RaccoonO365フィッシングメールは、標的企業内の信頼されているブランドや組織を装い、慣れ親しんだ職場のテーマを利用して信頼を悪用し、緊急性を生み出します。ファイル名は、財務文書や人事ドキュメント、ポリシー契約、契約書、請求書などの日常的な通信を模倣するように設計されました。メールがさらに進んで、リンクや添付ファイルに受信者の名前を組み込むことで信頼性を高める場合もありました。このソーシ��ャルエンジニアリングの手法により、ユーザーはメッセージが正当であると信じてクリックする可能性が高まります。
RaccoonO365 DocuSignメールには、ユーザーをフィッシングページに誘導する「ドキュメントの確認」ボタンが含まれています。
RaccoonO365 Adobe Acrobatメールには、ユーザーをフィッシングページに誘導する「今すぐ表示」ボタンが含まれています。
Maerskを装ったRaccoonO365フィッシングメール。PDFには画像ベースのリンクを含むドキュメン��トがあり、それがユーザーをフィッシングページに誘導します。
PDFベースのRaccoonO365キャンペーンでは、PDFにドキュメントのぼやけた画像が1つ含まれています。画像のどこをクリックしても、ユーザーはフィッシングページにリダイレクトされます。
QRコードを含むPDFが添付されたRaccoonO365キャンペーンです。コードをスキャンすると、ユーザーはフィッシングページに誘導されます。
2. 人間による検証と検出回避
標的がメール、PDF、またはQRコードの悪性リンクにアクセスすると、人間の確認のためにシンプルな「私はロボットではありません」CAPTCHAで保護されたランディングページにリダイレクトされます。
フィッシングキットが自動化されたセキュリティツールをブロックし、人間のターゲットへのアクセスを制限するために使用する基本的なCAPTCHAページ
この段階で、RaccoonO365のスクリプトは、セキュリティ研究者や自動化システムをブロックするために、いくつかの技術を使用しています。
ボット検出:複数のチェックを実行して自動化されたトラフィックを識別・フィルタリング。
自動化チェック:WebDriverのようなツールの存在を特に探し、ブラウザのユーザーエージェントを分析。
ブラウザフィンガープリンティング:キャンバスフィンガープリンティングなどの高度な方法を使用して、分析環境を特定・ブロック。
アンチ分析:開発者ツールのキーボードショートカットを積極的に無効化し、ブラウザのコンソールを無効化してコード検査を防止。
3. フィッシングページ
CAPTCHAやその他の条件をクリアした後、ユーザーには不正なMicrosoft 365のログインページが表示されます。RaccoonO365プラットフォームは、以下のような説得力のあるログインページを作成するツールを提供しています。これは、Microsoft 365サービスを模倣し、資格情報が盗難される可能性を高めます。
悪意のあるドメインにホストされたMicrosoft 365の認証情報収集ページ
攻撃チェーンのこの部分におけるステップ:
資格情報とセッションの盗難:被害者が資格情報を入力すると、キットは中間者攻撃として機能し、認証フローをMicrosoftのサーバーにプロキシし、攻撃者はパスワードだけでなく、結果として得られるセッションCookieも効果的にキャプチャし、MFAを回避。
流出:収集後、資格情報、Cookie、O365ファイル、マシン仕様など、侵害されたデータがスクリプト化されたURL経由で流出し、指定されたメールアドレスに直接送信。しかし、7月頃に彼らの手口は進化し、現在は、Telegramへの情報流出も含まれる。
アクターのツールキット能力
RaccoonO365は検出を避けるために、正規のインフラ上にオペレーションを構築しました。無料アカウントを活用し、Cloudflare Workersを戦略的にデプロイして中間層として機能させ、バックエンドのフィッシングサーバーを直接の公開から保護しました。
RaccoonO365のコードベース内部
RaccoonO365の悪意のあるコードは、様々な機能を実行するように設計されています。以下は例です。
アンチ分析と回避:リクエストが実際のフィッシングサーバーに渡される前に、Cloudflare Workersスクリプトによってリクエストの発信元がセキュリティ研究者、自動スキャナー、サンドボックスのいずれかであるかを判断。何らかの警告が表示された場合、接続が切断されるか、クライアントにエラーメッセージが表示され、フィッシングキットが事実上隠されます。
彼らの回避戦術の例:
ユーザーエージェントフィルタリング:18以上の既知の自動分析ツール、クローラー、ヘッドレスブラウザ(NetcraftSurveyAgent、python-requests、Headlessなど)のリストをブロック。
セキュリティベンダーの回避:safelinks.protection.outlook.comやurldefense.proofpoint.comなどのメールゲートウェイを含む、少なくとも17の主要なセキュリティサービスのインフラから発信される接続を積極的にブロック。
ネットワークレベルのブロッキング:既知のデータセンター、特定のISP、Tor出口ノード、ボゴンIP(未割り当てのIP範囲)からのリクエストへのアクセスを拒否。
ヘッダーとリファラーのチェック:MicrosoftのSmartScreenで使われるOriginヘッダーなど、HTTPヘッダーを検査して分析の兆候がないか確認。
動的トラフィックルーティング:セキュリティチェックを通過したリクエストに関しては、攻撃者の悪意あるスクリプトによって、トラフィックの制御機能として機能するという2番目の目的が果たされます。スクリプトは、アクターの隠されたバックエンドサーバー(例:sharedsyncdriveforwork[.]comやsponsoredmetasocialtasks[.]vip)から適切なフィッシングコンテンツを動的に取得して提供し、以下の機能を提供しました。
リバースプロキシ:スクリプトはフィッシングサーバーの実際のIPアドレスを隠蔽し、Cloudflareのネットワークから発信されているように偽装。セキュリティアナリストにとって、最初の接続はCloudflareで終わるように見え、攻撃者の真のインフラを隠蔽。
トリガーパスのロジック:アクターはコードに一意の変数を「トリガーパス」として埋め込み、コードのコア機能を変更することなく、1つの変数を変更することで、トラフィックを別のフィッシングキャンペーンにシームレスにリダイレクトし、バックエンドのロジックを調整。
中央集中型管理:このアーキテクチャにより、攻撃者は最小限のオーバーヘッドで大規模なフィッシング攻撃を仕掛けることが可能。コードの一部を変更するだけで、新しい回避手法を迅速に広めたり、ルーティングロジックを更新したり、キャンペーン全体を移行することができ、数十の個別のフィッシングキットを再デプロイまたは再設定する必要性を排除。
進化とスケーリング
RaccoonO365は、単にWorkerを立ち上げて放棄したわけではなく、継続的に保守、更新、拡張を行い、継続的なフィッシング攻撃をサポートしました。
2024年10月:キャンペーン開始
検出された最も早いアクティビティは、初期JavaScriptフィッシングキャンペーンのデプロイ
この操作の主な目的は、初日からの資格情報の窃盗であり、焦点は明らかにMicrosoft 365ビジネスアカウント。これらの初期のキットは、時間とともに継続的に改良される基礎的なコードを形成。
2024年12月:インフラの展開
最初のフィッシングキットが登場してから2か月後、このアクターは最初のCloudflare Workerクラスターを展開し、大幅な戦略的アップグレード実施。
これが示唆するのは、単�純なフィッシング設定から高度な2層アーキテクチャへの移行。攻撃者は、この新しいWorkerを既存のフィッシングキットの「前」に配置し、直ちにルーティングおよび回避レイヤーで保護。
2025年初頭~半ば:スケーリングと改良
このアクターは、異なる被害者プールを標的とする複数のフィッシングキャンペーンを並行して実行開始。
さらに、2番目と3番目のCloudflare Workerクラスター(2025年3月と7月)をデプロイしてインフラを拡張し、セキュリティ調査を妨げるために改善されたアンチ分析機能を組み込む。
この期間中、フィッシングキットは、CAPTCHA、回避の改善、正規のMicrosoftエラーページへのより巧妙なリダイレクトなどの機能で強化。
2025年半ば(7月~8月):洗練のピーク
最後の大きな進化として、Telegramボットのようなリアルタイムのデータ流出手法が、フ�ィッシングスクリプトに直接統合。これにより、攻撃者はMFA QRコードと盗まれた資格情報を即座に受け取り、作戦のピーク能力を示す。
RaccoonO365プラットフォーム更新
Cloudflareによるインフラの継続的な軽減に応じて、RaccoonO365の運営者はプライベートなTelegramチャンネルを通じて「プラットフォーム更新」を発行し、「Cloudflareからの脱却」を宣言する戦略的なシフトを発表しました。
初期の進捗更新の1つで、加入者向けの新しい「ミニパネル」が発表されました。RaccoonO365の新しいインフラは独立を目指しているものの、Cloudflare Workersに部分的に依存する計画があることが明らかになりました。
RaccoonO365の移行の進捗状況に関する最新情報では、サブスクライバー向けに新しい「ミニパネル」が発表されました。
後に、RaccoonO365の運営者からの「移行情報更新」で、「Cloudflareからの脱却を目指す使命」が明確に述べられました。投稿には、プラットフォームの規制強化と妨害活動へ�の直接的な対応として、「完全に独立した堅牢な」システムを構築するための詳細な技術計画が記されていました。
RaccoonO365からの「移行更新」で、彼らの「Cloudflareからの脱却を目指す」という使命が表明されました。
2025年9月5日、Cloudflareの軽減策の後、RaccoonO365チームは加入者向けに状況を再構成するために、Telegramに発表を投稿しました。彼らは、この混乱をサービスの計画的な「再生」として提示し、古い「レガシーリンク」を廃止し、ユーザーを新しいプラットフォームに誘導してアクセスを維持することを目指しました。これは、新しいインフラ上で事業を再構築することにより、混乱から回復し、顧客基盤を維持しようとする明確な試みです。
RaccoonO365の管理者は、「レガシーリンク」の停止を発表し、加入者に新しい�プランへの移行を求めています。
RacoonO365妨害活動の調整
当社の戦略は、受け身の姿勢から予防的で協調的な変革へと進化しました。
初期の状態:CloudflareのTrust & Safetyチームは個別の不正利用報告に対応し、RaccoonO365ドメインを特定次第、その影響を軽減。時間が経つにつれ、アクターの全体的な効果をさらに無力化するために、より広範で協調的な作戦が必要であることが明らかになりました。
コラボレーション:Microsoftは法的措置を講じ、数百のRaccoonO365ドメインを押収し、Cloudflareは当社プラットフォーム上でのRaccoonO365のすべての操作を停止。米国の法執行機関と協力して、当社は脅威アクターの作戦行動変更の援助をしました。
インフラの識別:サインアップのパターンを使用して、ドメインや数十のWorkerアカウントなど、当社のプラットフォーム上でアクターのインフラ全体の包括的マッピング成功。
協調的なテイクダウン:2025年9月上旬、CloudflareはRaccoonO365に対して「rugpull」を実行。Microsoftとの連携により、Cloudflareの取り下げの初期段階は2025年9月2日に開始、2025年9月3日および2025年9月4日に追加措置実施。その後、特定されたすべてのドメインを禁止し、インタースティシャル「フィッシング警告」ページを配置し、関連するWorkersスクリプトを終了し、再登録を防止するためにユーザーアカウントを停止。
この協調的な行動と、Microsoftおよび米国の法執行機関による法的取り組みは、同グループの当社プラットフォーム上およびそれ以外での運営能力を永久に無力化することを目的としています。
イベントタイムライン
推奨事項
Cloudflareは、RaccoonO365のようなPhaaS運用からの脅威を軽減するために、次の手順を推奨しています。
メールセキュリティ制御
高度なメールセキュリティ保護を使用して、詐欺が受信トレイに到達する前に阻止。Cloudflare Email Securityは、Email Detection Fingerprints(EDF)とカスタマイズされた検出を使用して、PhaaSメールをリアルタイムで検出。
厳格な添付ファイルとURLのスキャンを実施(不審なコンテンツは配信前にサンドボックス化)。
DMARC、SPF、DKIMを強制的に有効にして、メールスプーフィング制御。
IDとアクセスの強化
SMS/OTPベースの多要素認証(MFA)は、RaccoonO365のようなAiTMキットによって容易に回避されるため、代わりにフィッシング耐性のあるMFA(FIDO2/WebAuthn、スマートカード)を強制適用。
条件付きアクセスポリシー(地理的制限、デバイスコンプライアンス、Impossible Travelルール)を使用。
特権アカウントを定期的にローテーション・監査。
ユーザー意識向上とトレーニング
従業員が一般的なフィッシングの手口(人事文書、請求書、M365のログインプロンプト)を認識できるように、継続的なフィッシン��グシミュレーションとトレーニングを提供。
非難よりもレポートを強調:疑わしいメールのユーザーによる報告を容易化。
Webの保護とエンドポイントの保護
DNSフィルタリングとセキュアWebゲートウェイによる、新規登録および疑わしいドメインへのアクセスブロック。
高リスクカテゴリー(例:金融、クラウド生産性ログイン)に対してブラウザ分離を活用。
EDR/XDRの導入で、フィッシング後の活動(資格情報の盗難、異常なブラウザの動作)検出。
インシデント対応準備
盗まれたセッションCookieとOAuthトークンの検出および取り消しを自動化。
迅速な認証情報リセットとアカウント回復のための手順書準備。
シミュレートされたAiTMやフィッシングキャンペーン対応プロセスをテスト。
ベンダーおよびSaaSセキュリティ
クラウドプロバイダーやSaaSプロバイダーと連携して、テナントのアクティビティを継続的に監視。
不審な同意付与、OAuthアプリのインストール、または異常なAPIアクセスに対するアラートを有効化。
テナントおよび第三者にフィッシング耐性のあるアイデンティティ管理を遵守要求。
さらに、当社はすべての組織(Cloudflareのお客様であるかどうかにかかわらず)に、当社のメールRetro Scanツールへの無料アクセスを提供し、予測AIモデルを使用して既存の受信トレイメッセージをスキャンできるようにしております。Retro Scanは、検出された脅威をハイライト表示し、組織がメールアカウント内で直接修正できるようにします。これらの洞察により、組織はCloudflare Email Securityまたは希望するソリューションを使用して、同様の脅威が今後受信トレイに到達するのを防ぐためのさらなる制御を実施できます��。
侵害の痕跡(IoC)
以下の表に記載されているRaccoonO365ドメインのリストには、この犯罪企業が使用している最近のインフラの一部が含まれていますが、Cloudforce Oneが追跡している非常に長い指標リストの一部に過ぎません。指標の完全なリストと追加の実用的なコンテキストについては、Cloudforce Oneのお客様が利用できる脅威イベントプラットフォームをご覧ください。
