サイバーセキュリティソリューションのパイオニアであり、世界的リーダーであるチェック・ポイント・ソフトウェア・テクノロジーズ（Check Point(R) Software Technologies Ltd.、NASDAQ：CHKP、以下チェック・ポイント）の脅威インテリジェンス部門であるチェック・ポイント・リサーチ（Check Point Research、以下CPR）は、「Zipline」と名付けられたフィッシングキャンペーンを確認、その手口に関する分析結果を公開しました。Ziplineキャンペーンでは、攻撃者はまず企業の問い合わせフォームから連絡し、企業側からのメールを受け取るという逆転した手順で攻撃を開始します。CPRが近年確認した中で最も高度なソーシャルエンジニアリング型フィッシングキャンペーンのひとつであり、CPRは注意を促しています。

概要：
- ZipLineはCPRが近年確認した中で最も高度なソーシャルエンジニアリング型フィッシングキャンペーンのひとつです。

- 攻撃者は通常のフィッシングとは逆転した手順を取り、最初の接触を企業が公開している問い合わせフォームを通じて行うことで、被害者側からメールのやり取りを開始するよう仕向けます。

- 攻撃者は数週間にわたり専門的なメールのやり取りを行います。多くの場合、秘密保持契約（NDA）の締結を要求したのち、悪意あるzipファイルを送信します。

- ペイロードであるMixShellはインメモリ（メモリ常駐型）マルウェアであり、DNSトンネリングとHTTPフォールバックを利用して接続を維持し、攻撃者のコマンドを実行します。
- 攻撃の第二波ではAIトランスフォーメーションを口実とし、内部のAI影響評価を装ったメールを用います。
- 標的は主に米国の製造業およびサプライチェーン主要企業であり、攻撃の結果、知的財産の窃盗、ランサムウェアによる恐喝、アカウントの乗っ取りやビジネスメール詐欺（BEC）攻撃による金融詐欺、重要なサプライチェーンの混乱などが生じる可能性があります。

- Check Point Harmony Email & Collaborationは、AIを活用したフィッシング対策、行動分析、脅威エミュレーション、リアルタイムのURL検査によってこれらの脅威をブロックします。

フィッシングの手順を逆転
CPRはZipLineについて、近年で最も高度なフィッシングキャンペーンのひとつとしています。攻撃者はフィッシングを目的とした迷惑メールを送る代わりに、企業の「お問い合わせ（Contact Us）」フォームを通じてターゲットとの接触を開始します。この逆転によって、被害者側は必然的に最初のメールを送信することになります。その結果、一連のやり取りは正統なものとして映り、評判分析ベースのフィルター回避につながります。

大規模なソーシャルエンジニアリング
ZipLineは、忍耐強いソーシャルエンジニアリングによって防御を回避できることを実証しています。攻撃者は数日から数週間をかけ、標的との間で信頼性のあるプロフェッショナルな会話を繰り返し、多くの場合、被害者に秘密保持契約（NDA）への署名を要求します。攻撃者はまた、場合によっては米国で正式に登録されている合同会社（LLC）を模倣し、偽の企業サイトを作成します。攻撃者はまず、こうした正当性のある見せかけを確立し、その後ようやく、PowerShell実行チェーンを埋め込んで武器化済みのZIPファイルを配信します。

ZIPからMixShellへ
悪意あるZIPアーカイブには、無害なドキュメントと悪意あるLNKファイルの両方が含まれています。起動されると、アーカイブのバイナリデータ内に埋め込まれて隠されたPowerShellスクリプトが抽出されます。このスクリプトはすべてメモリ内で実行され、最終的にMixShellをデプロイします。これはカスタムインプラントで、以下のような機能を備えています。
- C2通信用にHTTPフォールバックと組み合わせたDNS TXTトンネリングを使用
- コマンドとファイル操作を遠隔で実行
- より深いネットワークアクセスを実現するためリバースプロキシのトンネルを作成
- ステルス性を保ちつつ、感染したシステムへの持続的コントロールを維持





AIを名目として悪用
CPRは本調査において、AIトランスフォーメーションを口実としたZipLineメールの第二波を観測しました。これらのフィッシングメールはAIの影響に関する内部評価を装い、効率性とコスト削減評価のため経営陣から要請されたものとして送信されていました。このメールは従業員に対し、AIが業務プロセスに与える影響についての簡単なアンケートに回答するよう求めます。これらのAIに関するメールによるサンプルセットから、直接的にマルウェアが検出されることはありませんでした。しかし、このインフラを再利用することで、段階的なZIP配信モデルとMixShellのインメモリ実行という手口が繰り返される可能性が示唆されています。

Ziplineを警戒すべき理由
ZipLineが米国の製造業界とサプライチェーンにおける重要な産業を標的としていることから、深刻な事態の発生につながる可能性が懸念されます。該当する企業にとっては、以下のように極めて大きなリスクにつながりかねません。
- 知的財産の窃盗やランサムウェアによる恐喝：生産ラインの停止や、データ漏えいの発生リスク
- 金融詐欺：認証情報の窃取や銀行アカウントの乗っ取り、BEC攻撃などを通じた、多額の金銭的損失発生のリスク
- サプライチェーン侵害：重要な製品や部品の生産に混乱が生じ、さまざまな業界に影響が波及するリスク

攻撃者は、日常的な通信経路の武器化と、多段階のフィッシング攻撃を実行しています。それにより、ソーシャルエンジニアリングが依然として組織に侵入する最も効果的な手法の一つであることを示しています。




防御のための推奨事項
- インバウンドチャネルへの監視を拡大する：問い合わせフォームやコラボレーションツール、その他の一見無害に見えるインバウンドのコンタクト方法について、潜在的な侵入経路として扱います。
- ユーザーの意識向上を促す：従業員、特に調達部門やパートナーシップ、サプライチェーン管理部門に対し、マルチチャネルのソーシャルエンジニアリングやフィッシングで用いられる誘引手法、悪意あるファイルの種類などについて学習する機会を作ります。
- 新規のベンダーや取引先に対して、強化されたデューデリジェンスを導入する：独立的な立場の情報源（電話、LinkedIn、または既知のパートナーなど）を通じた検証を実施します。
- 添付ファイルとリンクに対する検査を強化：セキュリティツールによるアーカイブファイルの内容分析を確実に実施できるようにします。
- アカウント乗っ取りやBEC攻撃への対策：多要素認証（MFA）を適用し、異常なログイン行動を監視します。

チェック・ポイントのプロテクション
チェック・ポイントのHarmony Email & Collaborationは、ZipLineのようなフィッシングやソーシャルエンジニアリング攻撃に対し、AIドリブンの多層防御を提供します。主要なプロテクションは以下の通りです。
- AIとNLP（自然言語処理）を活用したフィッシング防止技術：単一のメッセージに対する検査を越えた、コンテキストとコミュニケーションパターンへの分析を実現
- 脅威エミュレーション：武器化されたZIPファイルなど悪意ある添付ファイルをブロック
- リアルタイムのURLプロテクション：フィッシングリンクをクリック時にブロック
- 行動分析：アカウントの乗っ取りやBECを防止
- データ損失防止（DLP）：機密性の高い知的財産やサプライチェーンのデータを保護

Harmony Email & Collaborationを利用することで、組織は従業員、データ、事業運営を進化するフィッシングの手口から保護できます。

結論
ZipLineはフィッシング手法における革新を明らかに示しています。ウェブフォームの悪用、長期にわたるメールでのやり取り、AIに関する時事性のあるメールをルアーとする手法などを組み合わせ、米国の製造業やサプライチェーン企業に極めて深刻なリスクを与えています。従来の検知手法だけでは対処しきれない高度なソーシャルエンジニアリング攻撃に対し、組織はHarmony Email & Collaborationが持つ機能を活用することにより、先んじて対策できます。

ZipLineフィッシングキャンペーンの詳細については、CPRの技術分析レポート完全版をご覧ください。

本プレスリリースは、米国時間2025年8月26日に発表されたブログ（英語）をもとに作成しています。

Check Point Researchについて
Check Point Researchは、チェック・ポイントのお客様、脅威情報コミュニティを対象に最新のサイバー脅威インテリジェンスの情報を提供しています。チェック・ポイントの脅威インテリジェンスであるThreatCloud AIに保存されている世界中のサイバー攻撃に関するデータの収集・分析を行い、ハッカーを抑止しながら、自社製品に搭載される保護機能の有効性について開発に携わっています。100人以上のアナリストや研究者がチームに所属し、セキュリティ ベンダー、捜査当局、各CERT組織と協力しながら、サイバーセキュリティ対策に取り組んでいます。
ブログ: https://research.checkpoint.com/
X: https://x.com/_cpresearch_

チェック・ポイントについて
チェック・ポイント・ソフトウェア・テクノロジーズ（https://www.checkpoint.com/）は、デジタルトラストのリーディングプロバイダーとして、AIを駆使したサイバーセキュリティソリューションを通じて世界各国の10万を超える組織を保護しています。同社のInfinity Platformとオープンガーデン型エコシステムは、防止優先のアプローチで業界最高レベルのセキュリティ効果を実現しながらリスクを削減します。SASEを中核としたハイブリッドメッシュネットワークアーキテクチャを採用するInfinity Platformは、オンプレミス、クラウド、ワークスペース環境の管理を統合し、企業とサービスプロバイダーに柔軟性、シンプルさ、拡張性を提供します。Check Point Software Technologiesの全額出資日本法人、チェック・ポイント・ソフトウェア・テクノロジーズ株式会社（https://www.checkpoint.com/jp/）は、1997年10月1日設立、東京都港区に拠点を置いています。

ソーシャルメディア アカウント
・Check Point Blog: https://blog.checkpoint.com
・Check Point Research Blog: https://research.checkpoint.com/
・YouTube: https://youtube.com/user/CPGlobal
・LinkedIn: https://www.linkedin.com/company/check-point-software-technologies/
・X: https://x.com/checkpointjapan
・Facebook: https://www.facebook.com/checkpointjapan

将来予想に関する記述についての法的な注意事項
本プレスリリースには、将来予想に関する記述が含まれています。将来予想に関する記述は、一般に将来の出来事や当社の将来的な財務または業績に関連するものです。本プレスリリース内の将来予想に関する記述には、チェック・ポイントの将来の成長、業界におけるリーダーシップの拡大、株主価値の上昇、および業界をリードするサイバーセキュリティプラットフォームを世界の顧客に提供することについての当社の見通しが含まれますが、これらに限定されるものではありません。これらの事項に関する当社の予想および信念は実現しない可能性があり、将来における実際の結果や事象は、リスクや不確実性がもたらす影響によって予想と大きく異なる可能性があります。ここでのリスクには、プラットフォームの機能とソリューションの開発を継続する当社の能力、当社の既存ソリューションおよび新規ソリューションにたいする顧客の受け入れと購入、ITセキュリティ市場が発展を続けること、他製品やサービスとの競争、一般的な市場、政治、経済、経営状況、テロまたは戦争行為による影響などが含まれています。本プレスリリースに含まれる将来予想に関する記述に伴うリスクや不確実性は、2024年4月2日にアメリカ合衆国証券取引委員会に提出した年次報告書（フォーム20-F）を含む証券取引委員会への提出書類に、より詳細に記されています。本プレスリリースに含まれる将来予想に関する記述は、本プレスリリースの日付時点においてチェック・ポイントが入手可能な情報に基づくものであり、チェック・ポイントは法的に特段の義務がある場合を除き、本プレスリリース記載の将来予想に関する記述について更新する義務を負わないものとします。

本件に関する報道関係者からのお問い合わせ
チェック・ポイント広報事務局 （合同会社NEXT PR内）
Tel: 03-4405-9537　Fax: 03-6739-3934
E-mail: checkpointPR@next-pr.co.jp