Discordは、テキストチャット、ボイスチャット、ビデオ通話が可能なコミュニケーションツールです。
いろいろな場面で利用されることがありますが、無料で基本的な機能が利用できることもあり、特に個人間で利用されることが多く、たとえばオンラインゲームのコミュニティとして利用されたりします。
広く使用されているツールです。
このツールの便利な要素を悪用する攻撃が観測されています。
悪用される要素は、Discord招待リンクです。
Discordは、だれかがだれかを会話に誘うなどして利用するツールです。
一般的な会話の始まるまでの流れはこうなります。
- 会話を開始したい人が招待リンクを作成する
- 会話を開始したい人が招待リンクを会話したい人に届ける
- 招待リンクを受け取った人が会話したい場合は招待リンクをクリックする
- サイトに接続され、指示に従うと会話できる状態になる
これは通常の流れです。
ここで作成される招待リンクには有効期間の違いなどでいくつかの種類があります。
永続的に動作するリンクを作成することもできるのですが、それが必要でないケースもあり、無料で手軽なので期限付きのリンクを作成されるケースが良くあります。
ここまででは普通の人はなにも感じなると思いますが、悪意ある人は気がついてしまいました。
悪意ある人は行動を開始します。
- 有効期限切れの招待リンクを公開情報から探し出す
フォーラムやソーシャルメディア上を見ていれば期限切れのリンクを見つけることは難しくありません。
これを収集します。 - 同じ招待IDのリンクを作り直す
通常の流れで招待リンクを作ると同じIDが生成されることはないのですが、ある方法を使って招待リンクを作るように操作すると任意のIDを指定して招待リンクを作成できます。
悪意ある人はこれを実施します。
確認しておいた期限の切れたIDと同じになるように別のサイトに誘い込むことのできる内容を登録します。 - 偽の着陸用サイトを作成する
誘い込む場所として使用する着陸用サイトのコンテンツを配置します。
通常はDiscordのサイトに着陸することになるのでリンク作成者は着陸先を構築することはないのですが、悪意ある活動を実現するためにはこれが必要です。
通常招待リンクをクリックするとたどりつくサイトの見た目を模して、検証手順を完了するように促すボットを備えた「検証」チャンネルを用意するのです。
そして招待リンクをクリックした人のブラウザは、Discordのインターフェースを模倣したフィッシングWebサイトにリダイレクトされることになります。
手順に従うと、手元でPowerShellコマンドが実行されます。
この部分は攻撃テクニックのClickFixです。
ここまで誘導された被害者のPCは、そのまま多段階の感染チェーンが開始され、マルウェアが配置されて侵害された状態に仕上がります。
この攻撃のなにが危険なのでしょうか。
いくつもの技法を組み合わせて、回避手法も織り込まれて、そういった意味で危険という面もあります。
しかしそれよりも危険な部分は、攻撃者が攻撃に使用する招待リンクを攻撃者自身が被害者になる予定の人に届ける必要がない、という部分なのではないでしょうか。
すでに潜在的に被害者となる人の手元には、もともと本物だった招待リンクが届けられた状態になっているのです。
その招待リンクはもともと本物だったのです。
攻撃者は誘い込みのURLを自分で届けることが必要ないのです。
セキュリティ意識の高いシステム利用者はクリックの前にそのリンクを届けてきたメールなどは本物なのかを気にするかもしれません。
でもこの手法で攻撃になる場合には、その伝達された元の手段は、完全に本物だったのです。
違っていたのは期限が切れて同じ招待IDを別のサイトにつながるように再構成されていたことだけなのです。
この問題を構成する一部の要素については対策がされました。
しかし根本的にこの問題は解消できていないように思えます。
新たな攻撃手法が生まれてしまったといえそうです。
From Trust to Threat: Hijacked Discord Invites Used for Multi-Stage Malware Delivery
https://research.checkpoint.com/2025/from-trust-to-threat-hijacked-discord-invites-used-for-multi-stage-malware-delivery/
| この記事をシェア |
|
|---|
