脅威アクターはすでにフィッシング キャンペーンでURL書き直しメカニズムを悪用して、悪意のあるドメインをマスクしていました。
URL書き直しは、元のリンクをクリック時に宛先をスキャンするセキュリティ ベンダーのURLで置き換えることにより、ユーザーを保護するように設計されています。
これらの書き直されたリンクはプロバイダーのインフラストラクチャを通じてトラフィックをルーティングするため、ページをリアルタイムで分析し、既知の悪意のあるサイトをブロックし、ユーザー活動をログに記録できます。通常動作では、これは明らかに悪い宛先をフィルター処理するのに役立つ防御層です。
しかし、脅威アクターはこのモデルを逆転させています。すでにURL書き直しを使用している侵害されたメールボックスから操作することで、「事前ラップされた」安全なリンクを生成し、その後、外部フィッシング キャンペーンで信頼できるドメインのURLを再利用します。
最終的には、視覚的および技術的には信頼できるセキュリティまたは生産性プロバイダーに属しているように見えるフィッシング リンクが生成されますが、最終的には認証情報の収集サイトへと導かれます。
2024年後期から2025年にかけて、LevelBlue SpiderLabsは多層URL書き直しチェーンの急増を観察しました。その中では、攻撃者が複数のすでに書き直されたリンクを一緒にネストしています。
単一のリダイレクト ホップの代わりに、最新のキャンペーンは複数のプロバイダーを順序立てて連鎖させ(例:Cisco → Trend Micro → Barracuda → EdgePilot)、最終的に攻撃者が制御する宛先に解決されます。
このレイヤード設計は、静的URL分析、URL評判チェック、サンドボックス デトネーションを大幅に複雑にします。これらはパスの大部分に沿って安全でセキュリティブランドのドメインのみを表示する可能性があります。
テレメトリによると、2つ以上の書き直しサービスを使用したキャンペーンは2024年中盤まではまれでしたが、その後2025年を通じて着実に拡大し、Q4で顕著に急増しました。
3つ以上のURL書き直しサービスの使用は2025年中盤に出現し、継続して増加し、2026年初期にピークに達し、より深い、より複雑なリダイレクト チェーンに対する明確な攻撃者の好みを強調しています。
Tycoon2FA:クッキーを盗むための5層リダイレクト
Tycoon2FAフィッシング‑サービス提供プラットフォームは、Microsoftテーマのドキュメント要求ルアーを使用して、被害者を中間の敵(AiTM)フィッシング キットに駆り立てました。
多層URL書き直しの悪意のある使用は2025年全体に拡大し、最後の四半期に急増しました。
埋め込まれたURLは1,200文字を超え、Libraesva操作のホスト名(urlsand.esvalabs.com)で始まりましたが、エンコードされたパラメーターはSophosやInkyなどの追加のセキュリティ ベンダー ドメインを明かし、Base64エンコード データ内に隠されたその他のドメインもありました。
クリックされると、チェーンは5つのベンダーブランドレイヤーesvalabs.com → sophos.com → inky.com → edgepilot.com → cudasvc.comを通じてルーティングされ、最終的に侵害されたサイトに解決され、その後ユーザーは偽のMicrosoft サインイン ページに転送されました。
HTTP 302リダイレクトでフィルター処理することにより、アナリストはチェーンを再構築し、各ホップが信頼できるセキュリティ指向ドメインをどのように活用したかを確認できました。
Tycoon2FAのAiTMアーキテクチャはMicrosoft 365ログインをプロキシし、認証情報とセッション クッキーをリアルタイムでキャプチャし、多要素認証にもかかわらず完全なアカウント乗っ取りを可能にしました。
エンタープライズ環境では、そのようなアクセスは迅速にビジネス メール侵害、内部フィッシング、メールボックス ルールの悪用、データ盗難、および最終的なランサムウェア展開にエスカレートする可能性があります。
Sneaky2FA:HTMLアタッチメント
Sneaky2FA PhaaS フレームワークに起因する別のキャンペーンが、偽のドキュメント署名通知を含む法律事務所をターゲットにしました。
エンタープライズ環境では、そのような侵害は頻繁に後続のビジネス メール侵害(BEC)、メールボックス ルール操作、内部フィッシング伝播、データの流出、およびランサムウェア展開につながります。
フィッシングURLをメールに直接配置する代わりに、オペレーターはそれを添付HTMLファイル内に埋め込み、多層書き直しシーケンスをエンコードするREDIRECT_URL変数を定義しました。
開かれると、被害者のブラウザーはBarracuda、Sophos、およびCisco URL書き直しサービスを通じてリダイレクトのチェーンに従い、正当なマーケティングオートメーション プラットフォームに到達しました。これは追加のリダイレクターとして悪用されました。
これらのレイヤーの後にのみ、チェーンは法律事務所に似せて作成された新しく登録されたドメインに解決され、被害者のメール アドレスで事前に入力された詐欺的なMicrosoft 365ログイン ページをホストしました。
Tycoon2FAと同様に、Sneaky2FAはAiTM技術を使用して認証フローをインターセプトし、使用可能なセッション トークンを収集し、これらのキットをサブスクリプション ベースで借りている攻撃者のハードルを低くします。
信頼できるドメインの悪用と多ホップリダイレクトと組み合わせると、この配信モデルは検出とユーザー審査をはるかに困難にします。
組織は、行動検出(例えば、異常な302チェーン、過度の書き直し層、またはメール コンテンツと最終的な宛先の間の不一致)を優先し、メール、Webプロキシ、およびIDプラットフォーム全体にレイヤード制御を統合し、可能な限りフィッシング耐性MFAを採用すべきです。
疑わしい場所またはデバイスからのログインの継続的な監視、および条件付きアクセスとセッション失効の実施により、盗まれたクッキーの爆発半径を制限できます。
リンクが「安全」であるように見えても、ユーザー教育は引き続き重要です。従業員は、既知の正当なポータルを介して予期しないドキュメントまたはサイン イン プロンプトを検証し、最初の認識可能なブランドを超えてURLを検査し、信頼できるセキュリティまたは生産性サービスから発信されているように見える場合でも疑わしいメールを報告するようにトレーニングされるべきです。
翻訳元: https://gbhackers.com/safe-links-and-url/
