新たに記録されたフィッシングキャンペーンが、偽のLinkedInビジネスメールを使い、Adobeが運営する信頼性の高いサービスを悪用して専門職を標的にしています。
被害者の視点から見た攻撃の手口
攻撃は一見すると日常的なビジネス上の問い合わせに見えるメールから始まります。LinkedInを通じてあなたとビジネスをしたいという内容で、確認用の署名済み契約書が添付されています。
フィッシングメール(出典:Malwarebytes)
メッセージは短く専門的な文体で、送信者の会社名と名前は実在しています(ただし、潜在的な被害者が確認すれば、その送信者が該当企業に在籍していないことがわかります)。
添付ファイルを開いた人は、見覚えのあるLinkedInのログインページが表示され、メールアドレスがすでに入力された状態になっているのを目にします。
パスワードを入力して送信ボタンを押すと、本物のLinkedInにリダイレクトされます。その裏で、ログイン認証情報が攻撃者の運営するサーバーに送信されます。
攻撃の背後にある巧妙な手口
攻撃者はこの攻撃を効果的にし、被害者やメールセキュリティソリューションが検知しにくくするために、複数の欺瞞の手法を用いています。
攻撃者は正規のプラットフォームを装っており、専門職がLinkedInを通じてビジネスの問い合わせを受けるのは日常的なため、ルアー(おとり)に違和感がありません。
二重拡張子を使用することで、添付されたHTMLファイルをPDFファイルに偽装しており、そのHTMLファイルは高度に難読化されています。
偽のログインフォームのメールフィールドには標的のメールアドレスがあらかじめ入力されており、ページが個人に合わせて作られた信頼できるものであるかのような印象を与えます。
さらに、攻撃者はAdobeのインフラを悪用しています。被害者を直接自分たちのサーバーへ誘導するのではなく、omtrdc.netドメインでホストされている正規のA/BテストプラットフォームであるAdobe Targetを経由させます。
これには二つの目的があります。ひとつは、ネットワークトラフィックがAdobeの信頼されたアドレスに向かっているように見せること、もうひとつは、実際にクリックして認証情報を送信した被害者を攻撃者が追跡できるようにすることです。
こうした攻撃は大規模展開を前提に設計されている
注意深いユーザーであればフィッシングの警告サインを見抜けるはずですが、ほんの一瞬の油断がこうした手口の被害に遭うには十分なこともあります。
また、Malwarebytesの研究者が正確に指摘しているように、こうした攻撃はコストが低く、拡張性が高く、今後も拡散し続ける可能性があります。
迷惑な添付ファイルを開かないようにすることに加え、ユーザーは重要なアカウントに多要素認証を有効にし、公式アプリを通じるか、ブラウザに公式ウェブサイトを直接入力するか、または自分で作成したブックマークからのみアカウントにアクセスする習慣をつけるべきです。
翻訳元: https://www.helpnetsecurity.com/2026/05/29/linkedin-themed-phishing-adobe-a-b-testing-platform/
