📈『2026年度版 Salesforce 脅威ランドスケープレポート』を入手

Facebookビジネスマネージャのワークフロー悪用:テンプレート・インジェクションによるフィッシングとアカウント侵害

WithSecure Cloud Protection for Salesforceは、従来のメール配信の枠を超えた、Microsoft 365ユーザーを標的とした活発なフィッシング攻撃を検知しました…

フィッシング攻撃はもはや受信トレイだけに留まりません

2026年4月、WithSecure Cloud Protection for Salesforce(CPSF)は、なりすましメールや侵害されたインフラに依存しないフィッシングキャンペーンを検知しました。このキャンペーンでは、Facebook独自の通知システムを悪用し、完全に認証された正当な通信を通じて悪意のあるコンテンツを送信していました。

一見すると標準的なフィッシング攻撃のように見えたこの手口は、詳しく調査するとより洗練された設計であることが判明しました。その理由は、フィッシングのインフラ自体ではなく、攻撃が完全に信頼されたFacebook Business Managerのワークフロー内で実行されていたためです。

悪意のあるURLは、なりすましや侵害されたメールシステムを通じて配布されたものではありませんでした。その代わりに、Facebook自身のインフラから直接送信された正当なメールに埋め込まれていました。これらのメッセージはSPF、DKIM、DMARCの認証を問題なく通過したため、メールセキュリティのレイヤー上では本物の通信と見分けがつきませんでした。

さらなる分析により、このキャンペーンは単一の攻撃経路に依存していないことが判明しました。その代わりに、共有されたインジェクション手法、複数の配信チャネル、そして異なる攻撃目的を組み合わせ、すべてが信頼されたFacebook Business Managerのワークフロー内で動作していました。

主なポイント

  • 攻撃者は、従来のメールなりすましに頼るのではなく、プラットフォーム固有のワークフローを悪用している
  • 単一のテンプレート注入手法を、複数のFacebook通知ワークフローで再利用し、悪意のあるコンテンツを配布できる
  • 正当なFacebook通知メールを、フィッシングの配信チャネルとして転用できる
  • このキャンペーンは、認証情報の収集やビジネス資産への不正アクセスを含む、複数の目的をサポートしている
  • 検知は、メールを超えて、コンテンツが消費され、アクションが実行されるビジネスプラットフォームにまで拡張する必要がある

検知の背景

このキャンペーンは、メール層ではなく、最終的にコンテンツが消費されたSalesforceのワークフロー内で検知されました。WithSecure Cloud Protection for Salesforceは、ビジネスプロセスを通じて拡散する悪意のあるURLを、コンテンツ検査中にMalicious:Network/Genericとして分類しました。

これは、複数のキャンペーンで観察されたより広範なパターンを反映しています。攻撃者は、境界制御を回避し、信頼されたビジネスシステム内での下流の相互作用に依存するように脅威を設計しています。

攻撃モデル

このキャンペーンは、以下の3つの層で理解するのが最適です:

手 法

  • ビジネスマネージャのプロフィールフィールドを介したテンプレート注入により、攻撃者が制御するコンテンツを通知メールに埋め込む

配信チャネル

  • 組織を対象としたパートナーアクセスリクエスト通知は、承認されると認証情報の漏洩や不正アクセスを招く恐れがある
  • 個々のユーザーを対象としたビジネスポートフォリオのユーザー招待は、主にフィッシングの配信手段として使用される

目 的

  • ユーザー認証情報やMFAコードを収集するために設計されたフィッシングページを通じた認証情報の収集
  • Facebookビジネスマネージャー内の承認済みパートナー関係を利用したビジネス資産への不正アクセス

攻撃者は、複数のFacebookワークフローで同じ注入手法を再利用し、信頼された通信チャネルを通じて悪意のあるコンテンツを配布します。この攻撃は単一の直線的な経路をたどるのではなく、被害者の反応に応じて異なるワークフローを活用し、異なる結果を達成します。

攻撃フロー:複数のワークフローにわたるテンプレート注入

以下の図は、注入手法から始まり、複数の配信ワークフローに分岐する攻撃の概念モデルを示しています。

Facebookビジネスマネージャーの攻撃フロー

ステップ1:テンプレートインジェクションの設定

攻撃者は、Facebook ビジネスマネージャアカウントを作成するか、または乗っ取ります。

ビジネスポートフォリオ情報

ステップ2:攻撃手法

攻撃者は、以下の2つの攻撃手法のうち1つを選択します:

A: パートナーアクセスリクエスト

  • 目的:アカウントへのアクセス、認証情報のフィッシング
  • 標的:ビジネスマネージャーアカウントを持つ組織
  • おとりメールのテーマ:
    • Meta Agency Partner Programでは、標的に「パートナーシップ登録フォーム」と「Meta Agency Programに参加」という行動喚起を表示
    • 24時間以内にアカウントが削除/ロックされます”では、緊急性を強調し、「異議申し立てフォーム」を使用
  • 攻撃者は、公開情報を通じて標的組織のビジネスIDを特定
  • 正当なパートナーアクセスリクエストを送信し、多くの場合、複数のビジネス資産にわたる広範な権限を要求
  • Facebookから認証済みの通知メールが送信される

アクセスリクエストの手続き

権限リクエストには完全なアクセス制御が含まれます

承認されると、攻撃者は正規のアクセス権を取得します。これに必要な情報収集は最小限で済みます。ページIDや広告アカウントIDさえあればよく、これらは多くの場合、一般に公開されています。

影響:

  • 認証情報の窃取は不要
  • 監査ログ上ではアクセスが正当なものとして表示される
  • パスワードを変更した後も権限が維持される
  • 広告アカウント、ページ、および関連資産を制御可能になる

これはビジネスメール詐欺(BEC)と機能的に類似しているが、完全にプラットフォーム固有のワークフロー内で実行される。

B: ビジネスポートフォリオへのユーザー招待

  • 目的:認証情報のフィッシング
  • 標的:メールアドレスを持つあらゆるユーザー
  • 誘引のテーマ:「無料の認証済みブルーバッジ」は、アカウントの信頼性に対するユーザーの願望を悪用して行動を促す
  • 攻撃者のビジネスポートフォリオへの参加を勧める正当な招待状を、メール経由でユーザーに送信する
  • Facebookから正当な招待メールが送信される

ビジネスプロフィールユーザー招待フォーム

ステップ3:通知メールへのテンプレート挿入

どちらの配信経路においても、Facebookは攻撃者が制御するビジネスプロフィール情報を、サニタイズ処理を行わずにメールテンプレートに直接挿入しています。これにより、フィッシングURLやソーシャルエンジニアリング用のコンテンツが、正規の通知メール内に違和感なく表示されることになります。

Sample Email Via Partner Access Request

Sample Email Via User Invitation

ステップ4:ターゲットの操作

ターゲットは正規のFacebookメールを受信し、それに反応します:

経路1 — フィッシング:

  • ターゲットがメッセージ内の埋め込みリンクをクリックします
  • 偽造されたMetaポータルにリダイレクトされます
  • ターゲットに対し、個人情報や認証情報の入力が求められます
  • 個人情報、認証情報、およびMFAコードが入力されます

ページを読み込み中

Meta Agency Partner Program」の偽メタページ(誘引用)

ページ削除を装った偽のメタページ

偽の認証バッジ

偽のパートナーシップ登録申請書

偽の申し立て書

偽の認証バッジ申請フォーム

パスワード入力画面

多要素認証プロンプト

多要素認証プロンプト

経路2 —アクセス承認:

  • ターゲットは、Facebookからのメール通知から直接「リクエストを表示」をクリックします
  • パートナーのアクセスを承認します

Partner Access Request Link

ステップ 5: 結 果

認証情報の収集経路:

攻撃者は収集した本人確認データを以下の目的に利用できます:

  • 侵害された Facebook アカウントのアカウント復旧機能の悪用および完全な乗っ取り
  • 収集した本人確認データを他のプラットフォームやソーシャルエンジニアリング攻撃で再利用
  • 侵害されたビジネス資産や広告アカウントを利用した広告詐欺の実行
  • 金銭的利益を得るために、侵害されたアカウントやビジネス資産へのアクセス権を転売

アクセス承認経路:

  • 攻撃者は、Facebookのプラットフォーム内で正規のアクセス権を取得します
  • 認証情報は盗まれていません
  • ユーザーが後でパスワードを変更しても、アクセス権は維持されます
  • 攻撃者は、ページ、広告アカウント、ピクセル、またはターゲットが承認したあらゆるリソースにアクセスできます
  • Facebookの監査ログ上では、正当なビジネス関係のように見えます

これらの攻撃経路は、総合的に以下の結果をもたらします:

  • 信頼された通信に埋め込まれたソーシャルエンジニアリングコンテンツ
  • 認証済みインフラを通じて配信されるフィッシングURL
  • プラットフォームのブランド力による信頼性の向上

これは従来の脆弱性ではなく、信頼されたワークフロー内での検証されていない入力の悪用です。

検知テレメトリ

この脅威は、当社の汎用検知ルール「Malicious:Network/Generic」の対象となります。

検知テレメトリによると、活動は早くも2025年5月に確認されており、2026年3月から大幅に増加し、2026年4月にピークに達しています。この漸進的な増加傾向は、機会主義的な利用ではなく、手法の反復的な改良が行われていることを示唆しています。

Detection Activity Trend

ドメインの利用状況

ドメインの登録期間を分析した結果、一貫した運用パターンが明らかになりました:

  • 顧客環境で観測されたドメインのうち、96.4%は観測から過去7日以内に登録されたものでした
  • 3.15%は登録から8~14日経過したものでした
  • 登録から90日以上経過しているものはごくわずかでした

新規登録ドメインへのこの集中は、運用上重要な意味を持ちます。ドメインの登録日数が7日以下という閾値を設定すれば、この対策だけで観測された検知事例の大部分をカバーできたでしょう。

新しいインフラに依存する攻撃キャンペーンに対する追加の防御層を求める組織にとって、ドメイン登録日数によるフィルタリングを有効にすることは、導入のハードルが低く、高いカバー率を実現する対策となります。

Domain Age Blocking in CPSF Configuration

これまでのキャンペーンとの相違点

このキャンペーンは、過去に確認されたMicrosoft 365 フィッシング攻撃、特に信頼されたインフラストラクチャの利用という点で類似点が見られますが、いくつかの顕著な相違点があります:

  • この攻撃は、メールの添付ファイルやカレンダーの招待状といったメール配信チャネルにのみ依存するのではなく、プラットフォーム固有のワークフロー内で完全に実行されます
  • 単一のテンプレート注入手法が複数の通知ワークフローで再利用されており、異なるコンテキストを通じて悪意のあるコンテンツを一貫して配信することが可能になっています
  • 組織を標的としたワークフローとユーザーを標的としたワークフローの両方を含む、複数の配信チャネルが同時に活用されています
  • 攻撃者が制御する入力が正当なプラットフォーム通知内に表示され、信頼されたテンプレートが事実上、配信メカニズムとして機能します
  • 侵害が成功しても、認証情報の窃取は一切行われず、代わりにプラットフォーム内に永続するユーザー承認済みのアクセス権限に依存する場合があります

結論

このキャンペーンは、攻撃者がシステムを回避しようとするのではなく、信頼されたシステム内部で活動する傾向が強まっているという、より広範な傾向を裏付けています。攻撃者は、Facebook Business Managerの複数のワークフローを悪用することで、正当なプラットフォーム機能を配信手段と攻撃対象領域の両方に変貌させました。認証情報の収集から不正アクセスに至るまで、異なる目的を持つ複数のワークフローを組み合わせる能力は、攻撃の到達範囲と有効性を大幅に高めます。

本キャンペーンで実証されたように、検知が行われたのは配信時点ではなく、コンテンツが最終的に消費され、処理が行われたSalesforceのワークフロー内でした。これは根本的な変化を浮き彫りにしています。すなわち、脅威が正当なプラットフォーム活動と見分けがつかないように設計されている場合、境界制御だけでは不十分であるということです。

効果的なセキュリティは、信頼、コンテキスト、ユーザー操作が交わり、現代の攻撃が最終的に実行される場所である、ビジネスアプリケーションやワークフローにまで及ぶ必要があります。

推奨事項

ガバナンスとアクセス制御

  • Facebook Business Managerのパートナーリクエストに対する厳格な承認プロセスを定義する
  • パートナーへのアクセス権限を、サードパーティベンダーのオンボーディングと同等に扱う
  • 承認権限を、管理対象のユーザーグループに限定する

監視と監査

  • Business Managerのパートナー関係を定期的に監査する
  • 認識できない、または不要なアクセス権限を削除する

ユーザーの意識向上

  • マーケティングおよびソーシャルメディアチームに対し、プラットフォーム固有の攻撃について教育を行う
  • 正当なメールであっても悪意のあるコンテンツが含まれている可能性があることを強調する

技術的対策

  • ドメインの開設日数によるフィルタリングを有効にする(例:開設から7日未満のドメインをブロックする)
  • ビジネスプラットフォーム全体でコンテンツレベルのURL検査を実施する
  • 検知範囲をメールゲートウェイからSaaS環境へと拡大する

運用上の実践

  • 未承諾のパートナーリクエストは、デフォルトで不審なものとして扱う
  • 独立した通信チャネルを通じてリクエストを検証する
  • SaaSプラットフォームの悪用に特化したインシデント対応プレイブックを策定する

侵害の兆候

  • member365[.]agency-partner-register[.]com
  • pagequalitycenter[.]click
  • pageoperationscenter[.]click
  • pageperformancecenter[.]click
  • trustedpageportal[.]click
  • trustedpagesupport[.]click
  • controlreport[.]click
  • supportcenter[.]agency-partner-community[.]com
  • smart-service-portal[.]help
  • support254[.]agency-partner-manage[.]com
  • online-service-portal[.]help
  • contactauthcenter[.]click
  • contactpagesupport[.]click
  • helpforpage[.]online
  • transparency-violations-compl[.]click
  • freebluecheckfanpage[.]click