脅威アクターが、その機能が保護するはずのユーザーに対してメールセキュリティ機能を悪用し始めています。2025年後半から2026年初頭の間に、セキュリティ研究者たちはURL書き換えメカニズムを悪用する攻撃者による深刻なエスカレーションを特定しました。
複数の信頼できるセキュリティリンクをチェーンすることで、ハッカーは悪意のあるドメインを隠してメール防御を回避することができます。これらの階層化された回避戦術は、Tycoon2FAやSneaky2FAなどの一般的なPhaaSプラットフォームで広く用いられています。
URL書き換えはメールゲートウェイとウェブフィルターで使用される標準的なセキュリティ機能です。メールが届くと、システムは含まれるすべてのリンクをベンダーが生成した「セーフ」リンクに置き換えます。
ユーザーがクリックすると、ベンダーのサーバーを通じてルーティングされ、システムは宛先をリアルタイムでスキャンして悪意のあるサイトをブロックできます。
しかし、フィッシャーはこの保護を悪用する方法を見つけました。内部のメールアカウントを侵害することで、攻撃者は悪意のあるリンクを自分自身に送信することができます。
内部セキュリティシステムは自動的にリンクをプロバイダーの信頼できるドメインでラップします。スキャナーが最初に脅威を検出できない場合、攻撃者は新しく生成されたこの「セーフ」リンクをエクスポートして、広範な外部フィッシングキャンペーンで使用できます。
最近、この戦術は複雑な多層リダイレクトチェーンへと進化しています。単一のベンダーを悪用する代わりに、攻撃者はCisco、Trend Micro、Barracuda、Sophosなどの複数のセキュリティプロバイダーから書き換えられたリンクをスタックします。
この深いネストにより、自動セキュリティプラットフォームが完全なパスを解析し、最終的な悪意のあるウェブサイトを検出するのは非常に困難になります。
脅威インテリジェンスデータは、3つ以上のチェーンされたセキュリティサービスを使用するキャンペーンが2025年後半に急増し、2026年初頭に記録的な高さに達したことを示しています。
アカウントが侵害されると、攻撃者は迅速にデータ流出、ビジネスメール侵害、またはランサムウェア展開に移行します。
あるTycoon2FAの大規模キャンペーンでは、ハッカーが被害者に偽のMicrosoftドキュメントリクエストを送信しました。隠されたフィッシングリンクは5つの異なるセキュリティベンダーのリダイレクトの下に埋められていました。
チェーン内のすべてのホップが信頼できるセキュリティブランドのドメインを使用していたため、自動リンクスキャナーは危険を無視しました。
5つの層を通過した後、被害者は自動セキュリティボットをフィルタリングするためのCAPTCHAチャレンジに直面し、その後、パスワードを盗むために設計された偽のMicrosoftログインページが続きました。
これらの高度な攻撃を防ぐために、組織は従来のリンクスキャンを超える必要があります。防御者は行動検出、継続的なネットワーク監視、そしてlevelblueフィッシング耐性MFAが必要です。これにより、信頼できるドメインの背後に隠された悪意のある活動をキャッチできます。
さらに、従業員は初期のウェブリンクが信頼できるセキュリティプロバイダーからのように見える場合でも、疑わしい認証プロンプトを認識するように訓練される必要があります。
翻訳元: https://cyberpress.org/safe-links-hide-phishing/