攻撃者が「ソルト」を加えてスパムを季節化

出典：itor / Shutterstock

攻撃者は、カスケーディングスタイルシート（CSS）を悪用して、メール内に隠しテキストや文字を挿入する手法をますます多用しています。これは、フィルターを回避し、スパムやその他の悪意あるメッセージを企業のセキュリティ防御をすり抜けて届けることを目的としています。

この手法の基本的なアイデアは、メールの内容にノイズ――ランダムな文字、意味のない段落、隠しコメント――を加えることで、ユーザーには視覚的に検知できないが、メールフィルタリングツールを混乱させるというものです。

ソルトで味付け

このような隠しテキストによる「ソルティング」と呼ばれる手法は、セキュリティ研究者によれば、近年増加している問題です。シスコTalosは、過去数か月にわたり脅威アクターによるこの手法の利用を追跡しています。

「隠しテキストのソルティング（または『ポイズニング』）は、脅威アクターがパーサーを回避し、スパムフィルターを混乱させ、キーワードに依存した検出システムをすり抜けるために用いる効果的な手法です」とシスコTalosは2025年1月のブログ記事で述べています。「HTML（ハイパーテキストマークアップ言語）やCSS（カスケーディングスタイルシート）の機能を利用し、コメントや無関係な内容を含めることで、メールクライアントで表示された際には被害者には見えないが、パーサーや検出エンジンの効果に影響を与えることができます。」

その後、シスコはこの手法に関するレポートを今年2025年3月と今週の2回、更新しています。これは、ソルティングが回避手法として脅威アクターにより着実に増加しているためだと同社は述べています。「この手法は、検出を回避し、LLMベースの防御ソリューションにも影響を与えるために使われているのを確認しています」とシスコTalosの広報担当者はDark Readingにコメントしています。

カスケーディングスタイルシート（CSS）は、Web開発者がHTMLやXMLドキュメントの見た目を制御するためのものです。Webページ上のテキストやデータの内容と見た目を分離できるため、同じ内容をどのデバイスでも一貫した方法で表示できます。攻撃者は以前からCSSを悪用し、フィッシングメールを偽装する様々な手法を試みてきました。隠しテキストのソルティングでは、攻撃者はCSSを操作して、メールのヘッダー、プリヘッダー、本文、添付ファイルなど様々な部分に静かに無関係な内容を挿入します。

例えば、シスコTalosの今週のレポートでは、同社が分析したフィッシングメールが取り上げられています。これはBlue Cross Blue Shieldからのものを装っていました。このケースでは、脅威アクターが「あなたのためだけの美味しいスープレシピ4つ！」という文言をプリヘッダー（件名の後や下に表示されるプレビュー用テキスト）に追加し、セキュリティ検出ツールを混乱させようとしたようです。レポートによれば、攻撃者はCSSの「opacity」という可視性プロパティを0に設定し、テキストが完全に透明になり人間の読者には見えないようにしていました。

CSSの操作

シスコTalosの調査によると、攻撃者は悪意あるメールの内容をソルト化して検出メカニズムを混乱させるため、少なくとも2つのCSSプロパティ（テキストプロパティとディスプレイプロパティ）をよく悪用しています。シスコTalosは、攻撃者がテキストプロパティを使い、フォントサイズを極端に小さくしてユーザーに見えなくしたり、フォントの色を画面の背景色と同じに設定したりしていることを確認しました。同様に、Talosは攻撃者がディスプレイプロパティを「none」や「hidden」に設定し、ソルトを完全に見えなくしている例も頻繁に見つけています。HTMLコードを確認して初めて隠し内容が明らかになります。「この手法はシンプルですが、検出を回避するのに非常に効果的です」とシスコTalosの広報担当者は述べています。「メール内の内容を隠すために使えるCSSプロパティは非常に多くあります。攻撃者はCan I emailのようなリソースやWebアプリケーションを利用して、攻撃の効果を最大化できます。」

攻撃者がセキュリティメカニズムを欺くために悪意あるメールに含める必要がある隠し内容の量は様々だと、広報担当者は述べています。それは防御能力次第だと指摘します。「通常、隠しテキストは『パスワードリセット』のような非常に重要なキーワードやフレーズ、またはエンコードされた文字列に追加され、検出を回避します。したがって、数文字追加するだけでも効果的な場合があります。」

シスコTalosは、組織がこの脅威を軽減するために使える2つのアプローチを推奨しています。1つは、メールのさまざまな部分にある隠しテキストやその他の内容の隠蔽を検出できる高度なフィルタリングメカニズムを使うことです。「最初の選択肢は、HTMLのサニタイズを受信時に実施し、不可視テキストを下流の検出エンジンに到達する前に除去またはエスケープすることです」とシスコTalosは述べています。「2つ目の選択肢は、メールゲートウェイやプロキシにフィルター（例：プロンプトガード）を導入し、視覚的に隠されている、または不可視にスタイル設定された内容を無視することです。」