フィッシング攻撃はもはや受信トレイだけに留まりません
正規のMicrosoft 365インフラ、HTMLベースの認証情報収集、およびカレンダー招待の悪用を組み合わせることで、このキャンペーンは高い配信成功率を達成し、ユーザーとのやり取りの機会を複数回生み出しています。
特に注目すべきは、この活動がSalesforceのワークフローを通じて拡散していることも確認されており、これにより信頼できるビジネス上の文脈が導入され、ユーザーの警戒心をさらに低下させている点です。
主なポイント
- 攻撃者は、フィッシングメールの配信成功率を高めるために Microsoft 365 のインフラストラクチャを悪用した
- HTML 添付ファイルは、Microsoft サービスを装った認証情報収集ページを配信した
- カレンダーの招待状(ICS ファイル)は、二次的なインタラクションチャネルとして機能した
- このキャンペーンは Salesforce ワークフロー内でも確認されており、ビジネスコンテキストによってユーザーの信頼が高まっている
- この攻撃は、脆弱性の悪用ではなく、信頼されたプラットフォームの悪用とユーザーとのインタラクションに依存している
期間と範囲
T確認された最も初期の活動は2025年9月に遡り、2026年4月17日現在もキャンペーンは継続中である。
観測されたテレメトリの大部分は米国を拠点とする組織に集中しており、欧州やその他の地域でも追加の活動が確認されている。標的となった組織は、法務サービス、金融サービス、製造業、教育、消費財など、複数のセクターに及んでいる。
標的の分布から、特定の業界や地域に焦点を当てたものではなく、機会を捉えたキャンペーンであることが示唆される。
ソーシャルエンジニアリングの餌
このキャンペーンでは、説得力のある複数のテーマが使用されている:
ドメインの有効期限切れ/更新失敗 — サービス中断に関する緊急警告
Microsoftサブスクリプションの支払い失敗 — サービスの継続性に影響する請求上の問題
給与明細書の配信 — 社内の給与関連通信を装ったもの
SharePointファイル共有 — 偽の共同作業リクエスト
学術機関への招待 — 特定の教育機関に向けたメッセージ
このスキャンでファイルが悪意のあるものと識別された場合、アップロードは直ちにブロックされ、ファイルはSalesforce環境に保存されることはありません。
フィッシングメールの例
フィッシングメールの例
これらの餌は、緊急性や文脈上の権威を利用して、即座の行動を促すものです。
メール認証の回避
このキャンペーンは、メール認証を完全に回避するのではなく、その制約の範囲内で動作することで配信を実現しています。
送信ドメインには、以下のSPFレコードが設定されていました:
v=spf1 include:spf.protection.outlook.com ~all
Tこの設定には、いくつかの意味があります:
- Microsoft 365インフラストラクチャは、当該ドメインに代わって送信することを明示的に許可されています
- ~all(ソフトフェイル)ポリシーにより、SPFチェックに失敗した場合でもメッセージの送信が許可されます
- DMARCポリシーは定義されておらず、適用は受信システムに委ねられています
これは、メールヘッダーで確認された送信元IPの1つに対するSPFの結果です:
送信元IP(146.20.65.91)は当該ドメインのSPF認証に失敗しましたが、ソフトフェイルポリシーとDKIMの通過により、メールは依然として配信されました。
確認されたサンプルでは、送信元IPはSPF検証に失敗しましたが、以下の理由によりメッセージは依然として配信されました:
- DKIM検証が成功した(攻撃者が署名ドメインを制御している)
- DMARCポリシーによる拒否が適用されていない
- 複合認証の結果が、フィルタリングシステムにとって許容範囲内と見なされた
これは、認証チェックに合格したからといって正当性を示すものではないことを示しています。それは単に、メッセージが認証モデルに準拠していることを意味するに過ぎません。
M365テナントの悪用
フィッシングメールは、Microsoft 365テナントのインフラストラクチャを経由してルーティングされていました。
攻撃者は、無料トライアル、侵害されたアカウント、または闇市場を通じてテナントを登録または取得し、それらを利用して正規のMicrosoftインフラストラクチャ経由でメッセージを送信した可能性が高い。
メール内で確認されたMicrosoft生成のヘッダーフィールドは、送信セッションに関連付けられた認証済みテナントを特定する。これらのフィールドはMicrosoftシステムによって書き込まれ、外部から偽造することはできないため、正規のテナントインフラストラクチャが使用されていることが確認される。
脅威アクターが使用したテナントIDの例
Eメールの添付ファイル:二重配信アプローチ
Each phishing email contains two attachments:
各フィッシングメールには2つの添付ファイルが含まれています:
- HTMLファイル — 主要な認証情報収集ペイロード
- iCalendar (.ics) ファイル — 二次的な配信ベクター
この二重配信アプローチにより、単一チャネル防御に対する耐性が高まり、受信者に対して複数のインタラクション経路が生成されます。
HTML添付ファイル:認証情報収集ツール
HTML添付ファイルは、偽のMicrosoftログイン画面を表示します。
開くと、以下の動作を行います:
- Microsoftブランドの読み込みシーケンスを表示
- 攻撃者が制御するサブドメインを動的に生成
- 認証情報を収集するように設計されたフィッシングインターフェースを読み込み
偽の読み込みプロセス
偽の読み込みプロセス
偽のログインプロンプト
偽のログインプロンプト
一般的なMicrosoftテーマのページに加え、一部のHTML添付ファイルは、GoDaddyなどのプロバイダーを装ったドメイン更新やサブスクリプション通知など、特定のシナリオに合わせてカスタマイズされています。
偽のGoDaddyログインページ
このフィッシングキットは、/impactや/track-clickといったURLパスを使用し、非標準ポート(例:8443、2083)経由で攻撃者が制御するエンドポイントにリクエストを送信することで、ユーザーの操作を追跡します。これにより、オペレーターはユーザーの関与状況を監視し、攻撃のその後の段階を調整することが可能になります。
追跡エンドポイントのURL形式
追跡エンドポイントのURL形式
カレンダー招待:二次的な配信ベクトル
Calendar(.ics)の添付ファイルは、会議の招待として配信されます。
ICSはさまざまなプラットフォーム(Outlook、Googleカレンダー、Appleカレンダー、モバイルクライアント)で広くサポートされているため、信頼性の高いクロスプラットフォームの配信メカニズムを提供します。
メールクライアントの動作や設定によっては:
- イベントがカレンダーに自動的に追加される場合がある
- プレビュー時や操作時にイベントが表示される場合がある
- ユーザーが招待を明示的に承諾しなくても関与してしまう場合がある
カレンダー招待
カレンダーに追加されたカレンダー招待
ICS添付ファイル自体には、実行可能な悪意のあるコンテンツは含まれていません。その代わり、ソーシャルエンジニアリングおよび配信のメカニズムとして機能し、ユーザーをフィッシングのペイロードへと誘導します。
Salesforceワークフローでの観測
当社は、このキャンペーンをSalesforceワークフロー内で観測しました。これは重要な点です。なぜなら、Salesforceは信頼されたビジネス環境内で動作しており、ユーザーは正当な業務コンテンツを期待しているからです。CRMワークフローに表示されるコンテンツは、期待される業務活動と一致するため、ユーザーの疑念を和らげる可能性があります。
この文脈において:
- フィッシングコンテンツは、正当なワークフロー(例:請求書、給与計算、ドキュメント共有)と整合性があるように見える
- 配信チャネルが、正当性に対する認識を強化する
- この攻撃は、従来の電子メール中心の脅威モデルには当てはまらない可能性がある
フィッシングペイロード自体の動作は、配信チャネルに関係なく同じです。しかし、Salesforceを介して配信される場合、文脈上の信頼性により、ユーザーが操作を行う可能性が高まります。
検 知
WithSecure™ Cloud Protection for Salesforceは、このキャンペーンに関連する悪意のあるHTML添付ファイルを「PHISH/HTML.Agent」として検知します。
この検知は、以下の特徴を持つ認証情報収集ページを対象としています:
- 攻撃者が制御するURLを動的に生成する
- Microsoftの認証ポータルを偽装する
- ユーザーの認証情報を収集する
結 論
このキャンペーンは、攻撃者がシステムを直接回避しようとするのではなく、信頼されたシステム内で活動する傾向が強まっていることを示しています。
このアプローチにより、従来の回避手法への依存度が低下し、代わりに広く採用されているプラットフォームへの信頼を悪用するようになります。
これらの手法を組み合わせることで、攻撃者は技術的に正当に見えるメッセージを作成します:
- 正当な Microsoft 365 インフラストラクチャ
- DMARC の適用が不十分、または未実施
- 有効な DKIM 署名
- マルチチャネル配信(メールとカレンダー)
Salesforceのワークフロー内でこの活動が確認されたことは、より広範な変化を浮き彫りにしています。フィッシングの脅威はもはや電子メールに限定されず、ユーザーが本質的にその文脈を信頼しているビジネスアプリケーションへと拡大しています。
攻撃者が信頼されたプラットフォームやワークフローを悪用し続ける中、電子メールのセキュリティのみに注力する組織は、日々の業務に深く組み込まれたシステムにおける脆弱性を見落とすリスクがあります。
推奨事項
- サービス関連の緊急メールやカレンダーの招待状には注意を払う
- Microsoftのログインポータルを装ったHTML添付ファイルは開かない
- 公式ドメイン経由でMicrosoftサービスに直接アクセスする
- カレンダーの自動承諾設定を確認する
- 信頼性の指標としてSPF/DKIM/DMARCの結果のみに依存しない
侵害の兆候
以下の兆候は、キャンペーンのサンプル分析を通じて特定されました。
インフラストラクチャの指標(IP、ドメイン、テナントID)は、攻撃者によって変更される可能性があることに注意してください。
- M365 テナント ID:
- 6449efea-a175-42ba-b4fe-aaf702600f14
- 7c8f16fe-b88a-438e-850b-cc8160aefa6d
- d87ee9b3-0568-4108-9977-1462d082e09b
- 0714db3d-882f-41c4-8579-3146af5c2abb
- IPアドレス:
- 146.20.65.91
- 146.20.87.4
- 31.58.144.13
- ドメイン:
- anaksakti77[.]orgtouchepasamonflic[.]frklinikdrdewi[.]comhaoranchalerkotha[.]comkhaskhoborbd[.]combhkbbmta110[.]comcash4d10[.]xyzblitz168asia[.]comblitz168app[.]comwalshmanagement[.]cadoctorsbusinesshub[.]comanaksakti[.]onlineautomedsos[.]comrichalfahad[.]combishalacademy[.]comuttarabusinessclub[.]comcloudeducation[.]xyznexgenictchampsolympiad[.]com102naga26[.]comigromaster[.]infon8nblitz[.]sbswaroengindo89[.]comytccomputer[.]comcss.nokhbabd[.]com
- ファイル名のパターン:
- Admin_Center_MSA[username]_[digits]_.htmAdmin_Center_[name]_[digits]_.htmOnline admin center [random].PDF.HTMSharePoint_Workspace_Team_review, [timestamp]-[digits].htmMs-Portal-SupportHub_[encoded].htmTUlNRS1WZXJzaW9uOiAxLjAKQ29udGVudC1UeXBlOiB0ZXh0L2h0bWw (base64 decodes to “MIME-Version: 1.0\nContent-Type: text/html”)Remittance_Review_[string].htmPayOps Asset Ltd – RTI Full Payment Submission (FPS) for [month]_[random].htmABH Asset Ltd – RTI Full Payment Submission (FPS) for [month]_[random].htm