Vercelを悪用してリモートアクセス型マルウェアをホスト・配布する新たなフィッシング攻撃

Vercelのホスティングプラットフォームを悪用する新たなフィッシングキャンペーンが、少なくとも2025年11月以降活動しており、ますます巧妙化しています。

中核となる手口は「継承された信頼」です。攻撃者は、未払い請求書、支払い明細、文書レビューなど、金融やビジネスを題材にした短いフィッシングメールを送ります。本当の誘い文句は本文ではなく、埋め込まれた *.vercel.app のリンクです。

vercel.app は正当で広く利用されているホスティングドメインであるため、多くのメールフィルターが検知しにくい傾向があります。

リンク先ページは、安全なPDFビューア、金融ポータル、文書署名サービス、またはソフトウェアのダウンロードページに見えるように装われています。場合によっては、攻撃者がIT担当者やサポート担当者を装い、Vercelページ経由で「修正をインストール」するよう被害者を誘導します。

2025年6月にCyberArmorによって最初に文書化されたこの作戦は、単純なファイル配布から、Telegramをゲーティングに用い、GoTo Resolveをリモートアクセス用バックドアとして利用する、選別型の「条件付き」感染チェーンへと進化しました。

確認されたテーマには、期限超過の請求書（「43日延滞」）、スペイン語によるサービス停止警告、訴訟の可能性通知、さらにはビジネスページ所有者を狙ったMetaの「コミュニティ規定」アラートなどが含まれます。

フィッシング攻撃の段階

被害者がVercelリンクをクリックしても、ペイロードはすぐには配布されません。代わりに、ページがまずブラウザのフィンガープリントを取得し、IPアドレス、位置情報、デバイス種別、ブラウザの詳細を収集します。これらの情報は、その後、攻撃者が管理するTelegramチャンネルへ送信されます。

このデータを用いて、バックエンドはペイロードを提供するかどうかを判断します。サンドボックスの疑いがある環境、セキュリティ研究者、または対象外の地域は除外されます。

メール本文は最小限であることが多く、「支払い期限」「請求書を添付」などの切迫した文言で、埋め込まれたvercel.appリンクをクリックさせようとします。

「有効」な標的だけが偽のビューアや請求書ページを表示され、しばしば「Statements05122025.exe」や「Invoice06092025.exe.bin」のような名前のファイルをダウンロードするよう促されます。

ダウンロードされるファイルはカスタムマルウェアではなく、GoTo Resolve（旧LogMeIn）の署名付きインストーラで、正規のリモートアクセス／サポートツールです。

明らかなマルウェアではなく信頼されたソフトウェアを利用するこの「Living off the Land」手法を悪用することで、攻撃者は多くのシグネチャベースのアンチウイルスエンジンをすり抜けることができます。

実行されると、GoTo Resolveはリモートサーバーに接続し、攻撃者に被害者システムの完全な遠隔操作権限を与え、実質的にステルス性の高いバックドアとして機能します。

検知と防御

防御側は、クリック時点のURL解析、サービス悪用やブランドなりすましの検知、そしてvercel.appやsurge.shのような類似サブドメインのより厳格な監視に注力すべきです。

アプリケーション制御ポリシーでリモートサポートツールをインストールできる人物を制限し、ユーザー教育では、南京錠アイコンや既知のドメインが安全性を保証するわけではないことを強調すべきです。

Cloudflare Email Securityはこの活動に対して複数の検知を公開しており、SentimentCM.Banking.Invoice.Service_Abuse.Vercel.Link、Brand_Impersonation.Facebook.Service_Abuse.Vercel.Link、Service_Abuse.Vercel.URL_Shortener.Linkといったルールが含まれます。中には直近30日で既に数万件のヒットを記録しているものもあり、この脅威が現在も活動中で広範に拡大していることを示しています。

IOCs