コンテンツにスキップするには Enter キーを押してください

専門家がMicrosoft 365ログイン認証情報を盗むために使用される多層リダイレクト手法を検出

投稿日 2025年8月1日

2025年7月31日Ravie Lakshmananフィッシング / 脅威インテリジェンス

Microsoft 365認証情報窃取の試み

サイバーセキュリティ研究者は、ProofpointやIntermediaのリンクラッピングサービスを悪用して防御を回避し、悪意のあるペイロードを隠す新たなフィッシングキャンペーンの詳細を明らかにしました。

「リンクラッピングは、Proofpointのようなベンダーによって設計されており、クリックされたすべてのURLをスキャンサービス経由でルーティングすることで、ユーザーを保護します。これにより、クリック時に既知の悪意ある宛先をブロックすることができます」とCloudflare Email Securityチームは述べています

「これは既知の脅威に対しては効果的ですが、ラッピングされたリンクがクリック時にスキャナーによってフラグ付けされていない場合、攻撃は依然として成功する可能性があります。」

過去2か月間に観測されたこの活動は、脅威アクターが正当な機能や信頼されたツールを悪用して自らの利益のために悪意ある行為を行うさまざまな方法を見つけ出していることを改めて示しています。今回の場合、被害者をMicrosoft 365のフィッシングページにリダイレクトしています。

リンクラッピングの悪用は、攻撃者が組織内ですでにこの機能を利用しているメールアカウントに不正アクセスし、そのアカウントから送信された悪意あるURLを含むメールメッセージが自動的にラッピングされたリンク(例:urldefense.proofpoint[.]com/v2/url?u=<malicious_website>)に書き換えられる点が注目されます。

もう一つ重要な側面は、Cloudflareが「多層リダイレクト悪用」と呼ぶもので、脅威アクターがまずBitlyのようなURL短縮サービスを使って悪意のあるリンクを隠し、その短縮リンクをProofpointで保護されたアカウントからメールで送信することで、リンクが二重に隠蔽されるというものです。

この挙動により、URLはBitlyとProofpointのURL Defenseという2段階の難読化を経て、最終的に被害者をフィッシングページへと誘導するリダイレクションチェーンが作られます。

ウェブインフラ企業が観測した攻撃では、フィッシングメッセージはボイスメール通知を装い、受信者にリンクをクリックしてメッセージを聞くよう促し、最終的に認証情報を盗むための偽のMicrosoft 365フィッシングページに誘導します。

別の感染チェーンでは、Microsoft Teamsで受信したとされる文書の通知メールに同じ手法が使われ、ユーザーを罠のハイパーリンクへと誘導します。

これら攻撃の第三のバリエーションでは、Teamsを装ったメールで「未読メッセージがある」と偽り、メール内の「Teamsで返信」ボタンをクリックさせて認証情報収集ページへリダイレクトします。

「urldefense[.]proofpoint[.]comやurl[.]emailprotectionなどの正当なURLで悪意ある宛先を隠すことで、これらのフィッシングキャンペーンによる信頼されたリンクラッピングサービスの悪用は、攻撃成功の可能性を大幅に高めています」とCloudflareは述べています。

この動きは、急増するフィッシング攻撃の中で、Scalable Vector Graphics(SVG)ファイルを武器化し、従来の迷惑メール・フィッシング対策を回避して多段階のマルウェア感染を開始する傾向の中で発生しています。

「JPEGやPNGファイルとは異なり、SVGファイルはXMLで記述され、JavaScriptやHTMLコードをサポートします」とニュージャージー州サイバーセキュリティ・通信統合センター(NJCCIC)は先月述べました。「これらはスクリプト、ハイパーリンク、インタラクティブな要素を含むことができ、無害なSVGファイル内に悪意のあるコードを埋め込むことで悪用される可能性があります。」

また、フィッシングキャンペーンでは、偽のZoomビデオ会議リンクをメールに埋め込み、クリックすると現実的なインターフェースを模倣した偽ページにリダイレクトされ、その後「ミーティング接続がタイムアウトしました」というメッセージが表示され、再度ミーティングに参加するために認証情報の入力を促すフィッシングページに誘導される事例も観測されています。

「残念ながら、『再参加』する代わりに、被害者の認証情報とIPアドレス、国、地域が、セキュアで暗号化された通信で有名なメッセージングアプリTelegram経由で流出し、最終的には脅威アクターに送信されます」とCofenseは最近のレポートで述べています

翻訳元: https://thehackernews.com/2025/07/experts-detect-multi-layer-redirect.html

Published in thehackernews.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です