フィッシング攻撃はもはや受信トレイだけに留まりません

2026年4月、WithSecure Cloud Protection for Salesforce（CPSF）は、なりすましメールや侵害されたインフラに依存しないフィッシングキャンペーンを検知しました。このキャンペーンでは、Facebook独自の通知システムを悪用し、完全に認証された正当な通信を通じて悪意のあるコンテンツを送信していました。

一見すると標準的なフィッシング攻撃のように見えたこの手口は、詳しく調査するとより洗練された設計であることが判明しました。その理由は、フィッシングのインフラ自体ではなく、攻撃が完全に信頼されたFacebook Business Managerのワークフロー内で実行されていたためです。

悪意のあるURLは、なりすましや侵害されたメールシステムを通じて配布されたものではありませんでした。その代わりに、Facebook自身のインフラから直接送信された正当なメールに埋め込まれていました。これらのメッセージはSPF、DKIM、DMARCの認証を問題なく通過したため、メールセキュリティのレイヤー上では本物の通信と見分けがつきませんでした。

さらなる分析により、このキャンペーンは単一の攻撃経路に依存していないことが判明しました。その代わりに、共有されたインジェクション手法、複数の配信チャネル、そして異なる攻撃目的を組み合わせ、すべてが信頼されたFacebook Business Managerのワークフロー内で動作していました。

主なポイント

• 攻撃者は、従来のメールなりすましに頼るのではなく、プラットフォーム固有のワークフローを悪用している
• 単一のテンプレート注入手法を、複数のFacebook通知ワークフローで再利用し、悪意のあるコンテンツを配布できる
• 正当なFacebook通知メールを、フィッシングの配信チャネルとして転用できる
• このキャンペーンは、認証情報の収集やビジネス資産への不正アクセスを含む、複数の目的をサポートしている
• 検知は、メールを超えて、コンテンツが消費され、アクションが実行されるビジネスプラットフォームにまで拡張する必要がある

検知の背景

このキャンペーンは、メール層ではなく、最終的にコンテンツが消費されたSalesforceのワークフロー内で検知されました。WithSecure Cloud Protection for Salesforceは、ビジネスプロセスを通じて拡散する悪意のあるURLを、コンテンツ検査中にMalicious:Network/Genericとして分類しました。

これは、複数のキャンペーンで観察されたより広範なパターンを反映しています。攻撃者は、境界制御を回避し、信頼されたビジネスシステム内での下流の相互作用に依存するように脅威を設計しています。

攻撃モデル

このキャンペーンは、以下の3つの層で理解するのが最適です：

手 法

• ビジネスマネージャのプロフィールフィールドを介したテンプレート注入により、攻撃者が制御するコンテンツを通知メールに埋め込む

配信チャネル

• 組織を対象としたパートナーアクセスリクエスト通知は、承認されると認証情報の漏洩や不正アクセスを招く恐れがある
• 個々のユーザーを対象としたビジネスポートフォリオのユーザー招待は、主にフィッシングの配信手段として使用される

目 的

• ユーザー認証情報やMFAコードを収集するために設計されたフィッシングページを通じた認証情報の収集
• Facebookビジネスマネージャー内の承認済みパートナー関係を利用したビジネス資産への不正アクセス

攻撃者は、複数のFacebookワークフローで同じ注入手法を再利用し、信頼された通信チャネルを通じて悪意のあるコンテンツを配布します。この攻撃は単一の直線的な経路をたどるのではなく、被害者の反応に応じて異なるワークフローを活用し、異なる結果を達成します。

攻撃フロー：複数のワークフローにわたるテンプレート注入

以下の図は、注入手法から始まり、複数の配信ワークフローに分岐する攻撃の概念モデルを示しています。

Facebookビジネスマネージャーの攻撃フロー

ステップ1：テンプレートインジェクションの設定

攻撃者は、Facebook ビジネスマネージャアカウントを作成するか、または乗っ取ります。

ビジネスポートフォリオ情報

ステップ2：攻撃手法

攻撃者は、以下の2つの攻撃手法のうち1つを選択します：

A: パートナーアクセスリクエスト

• 目的：アカウントへのアクセス、認証情報のフィッシング
• 標的：ビジネスマネージャーアカウントを持つ組織
• おとりメールのテーマ：
  • 「Meta Agency Partner Program」では、標的に「パートナーシップ登録フォーム」と「Meta Agency Programに参加」という行動喚起を表示
  • “24時間以内にアカウントが削除／ロックされます”では、緊急性を強調し、「異議申し立てフォーム」を使用
• 攻撃者は、公開情報を通じて標的組織のビジネスIDを特定
• 正当なパートナーアクセスリクエストを送信し、多くの場合、複数のビジネス資産にわたる広範な権限を要求
• Facebookから認証済みの通知メールが送信される

アクセスリクエストの手続き

権限リクエストには完全なアクセス制御が含まれます

承認されると、攻撃者は正規のアクセス権を取得します。これに必要な情報収集は最小限で済みます。ページIDや広告アカウントIDさえあればよく、これらは多くの場合、一般に公開されています。

影響：

• 認証情報の窃取は不要
• 監査ログ上ではアクセスが正当なものとして表示される
• パスワードを変更した後も権限が維持される
• 広告アカウント、ページ、および関連資産を制御可能になる

これはビジネスメール詐欺（BEC）と機能的に類似しているが、完全にプラットフォーム固有のワークフロー内で実行される。

B: ビジネスポートフォリオへのユーザー招待

• 目的：認証情報のフィッシング
• 標的：メールアドレスを持つあらゆるユーザー
• 誘引のテーマ：「無料の認証済みブルーバッジ」は、アカウントの信頼性に対するユーザーの願望を悪用して行動を促す
• 攻撃者のビジネスポートフォリオへの参加を勧める正当な招待状を、メール経由でユーザーに送信する
• Facebookから正当な招待メールが送信される

ビジネスプロフィールユーザー招待フォーム

ステップ3：通知メールへのテンプレート挿入

どちらの配信経路においても、Facebookは攻撃者が制御するビジネスプロフィール情報を、サニタイズ処理を行わずにメールテンプレートに直接挿入しています。これにより、フィッシングURLやソーシャルエンジニアリング用のコンテンツが、正規の通知メール内に違和感なく表示されることになります。

Sample Email Via User Invitation

ステップ4：ターゲットの操作

ターゲットは正規のFacebookメールを受信し、それに反応します：

経路1 — フィッシング：

• ターゲットがメッセージ内の埋め込みリンクをクリックします
• 偽造されたMetaポータルにリダイレクトされます
• ターゲットに対し、個人情報や認証情報の入力が求められます
• 個人情報、認証情報、およびMFAコードが入力されます

ページを読み込み中

「Meta Agency Partner Program」の偽メタページ（誘引用）

ページ削除を装った偽のメタページ

偽の認証バッジ

偽のパートナーシップ登録申請書

偽の申し立て書

偽の認証バッジ申請フォーム

パスワード入力画面

多要素認証プロンプト

多要素認証プロンプト

経路2 —アクセス承認:

• ターゲットは、Facebookからのメール通知から直接「リクエストを表示」をクリックします
• パートナーのアクセスを承認します

Partner Access Request Link

ステップ 5: 結 果

認証情報の収集経路:

攻撃者は収集した本人確認データを以下の目的に利用できます:

• 侵害された Facebook アカウントのアカウント復旧機能の悪用および完全な乗っ取り
• 収集した本人確認データを他のプラットフォームやソーシャルエンジニアリング攻撃で再利用
• 侵害されたビジネス資産や広告アカウントを利用した広告詐欺の実行
• 金銭的利益を得るために、侵害されたアカウントやビジネス資産へのアクセス権を転売

アクセス承認経路:

• 攻撃者は、Facebookのプラットフォーム内で正規のアクセス権を取得します
• 認証情報は盗まれていません
• ユーザーが後でパスワードを変更しても、アクセス権は維持されます
• 攻撃者は、ページ、広告アカウント、ピクセル、またはターゲットが承認したあらゆるリソースにアクセスできます
• Facebookの監査ログ上では、正当なビジネス関係のように見えます

これらの攻撃経路は、総合的に以下の結果をもたらします：

• 信頼された通信に埋め込まれたソーシャルエンジニアリングコンテンツ
• 認証済みインフラを通じて配信されるフィッシングURL
• プラットフォームのブランド力による信頼性の向上

これは従来の脆弱性ではなく、信頼されたワークフロー内での検証されていない入力の悪用です。

検知テレメトリ

この脅威は、当社の汎用検知ルール「Malicious:Network/Generic」の対象となります。

検知テレメトリによると、活動は早くも2025年5月に確認されており、2026年3月から大幅に増加し、2026年4月にピークに達しています。この漸進的な増加傾向は、機会主義的な利用ではなく、手法の反復的な改良が行われていることを示唆しています。

Detection Activity Trend

ドメインの利用状況

ドメインの登録期間を分析した結果、一貫した運用パターンが明らかになりました：

• 顧客環境で観測されたドメインのうち、96.4%は観測から過去7日以内に登録されたものでした
• 3.15%は登録から8～14日経過したものでした
• 登録から90日以上経過しているものはごくわずかでした

新規登録ドメインへのこの集中は、運用上重要な意味を持ちます。ドメインの登録日数が7日以下という閾値を設定すれば、この対策だけで観測された検知事例の大部分をカバーできたでしょう。

新しいインフラに依存する攻撃キャンペーンに対する追加の防御層を求める組織にとって、ドメイン登録日数によるフィルタリングを有効にすることは、導入のハードルが低く、高いカバー率を実現する対策となります。

Domain Age Blocking in CPSF Configuration

これまでのキャンペーンとの相違点

このキャンペーンは、過去に確認されたMicrosoft 365 フィッシング攻撃、特に信頼されたインフラストラクチャの利用という点で類似点が見られますが、いくつかの顕著な相違点があります：

• この攻撃は、メールの添付ファイルやカレンダーの招待状といったメール配信チャネルにのみ依存するのではなく、プラットフォーム固有のワークフロー内で完全に実行されます
• 単一のテンプレート注入手法が複数の通知ワークフローで再利用されており、異なるコンテキストを通じて悪意のあるコンテンツを一貫して配信することが可能になっています
• 組織を標的としたワークフローとユーザーを標的としたワークフローの両方を含む、複数の配信チャネルが同時に活用されています
• 攻撃者が制御する入力が正当なプラットフォーム通知内に表示され、信頼されたテンプレートが事実上、配信メカニズムとして機能します
• 侵害が成功しても、認証情報の窃取は一切行われず、代わりにプラットフォーム内に永続するユーザー承認済みのアクセス権限に依存する場合があります

結論

このキャンペーンは、攻撃者がシステムを回避しようとするのではなく、信頼されたシステム内部で活動する傾向が強まっているという、より広範な傾向を裏付けています。攻撃者は、Facebook Business Managerの複数のワークフローを悪用することで、正当なプラットフォーム機能を配信手段と攻撃対象領域の両方に変貌させました。認証情報の収集から不正アクセスに至るまで、異なる目的を持つ複数のワークフローを組み合わせる能力は、攻撃の到達範囲と有効性を大幅に高めます。

本キャンペーンで実証されたように、検知が行われたのは配信時点ではなく、コンテンツが最終的に消費され、処理が行われたSalesforceのワークフロー内でした。これは根本的な変化を浮き彫りにしています。すなわち、脅威が正当なプラットフォーム活動と見分けがつかないように設計されている場合、境界制御だけでは不十分であるということです。

効果的なセキュリティは、信頼、コンテキスト、ユーザー操作が交わり、現代の攻撃が最終的に実行される場所である、ビジネスアプリケーションやワークフローにまで及ぶ必要があります。

推奨事項

ガバナンスとアクセス制御

• Facebook Business Managerのパートナーリクエストに対する厳格な承認プロセスを定義する
• パートナーへのアクセス権限を、サードパーティベンダーのオンボーディングと同等に扱う
• 承認権限を、管理対象のユーザーグループに限定する

監視と監査

• Business Managerのパートナー関係を定期的に監査する
• 認識できない、または不要なアクセス権限を削除する

ユーザーの意識向上

• マーケティングおよびソーシャルメディアチームに対し、プラットフォーム固有の攻撃について教育を行う
• 正当なメールであっても悪意のあるコンテンツが含まれている可能性があることを強調する

技術的対策

• ドメインの開設日数によるフィルタリングを有効にする（例：開設から7日未満のドメインをブロックする）
• ビジネスプラットフォーム全体でコンテンツレベルのURL検査を実施する
• 検知範囲をメールゲートウェイからSaaS環境へと拡大する

運用上の実践

• 未承諾のパートナーリクエストは、デフォルトで不審なものとして扱う
• 独立した通信チャネルを通じてリクエストを検証する
• SaaSプラットフォームの悪用に特化したインシデント対応プレイブックを策定する

侵害の兆候

• member365[.]agency-partner-register[.]com
• pagequalitycenter[.]click
• pageoperationscenter[.]click
• pageperformancecenter[.]click
• trustedpageportal[.]click
• trustedpagesupport[.]click
• controlreport[.]click
• supportcenter[.]agency-partner-community[.]com
• smart-service-portal[.]help
• support254[.]agency-partner-manage[.]com
• online-service-portal[.]help
• contactauthcenter[.]click
• contactpagesupport[.]click
• helpforpage[.]online
• transparency-violations-compl[.]click
• freebluecheckfanpage[.]click

フィッシング攻撃はもはや受信トレイだけに留まりません

正規のMicrosoft 365インフラ、HTMLベースの認証情報収集、およびカレンダー招待の悪用を組み合わせることで、このキャンペーンは高い配信成功率を達成し、ユーザーとのやり取りの機会を複数回生み出しています。

特に注目すべきは、この活動がSalesforceのワークフローを通じて拡散していることも確認されており、これにより信頼できるビジネス上の文脈が導入され、ユーザーの警戒心をさらに低下させている点です。

主なポイント

• 攻撃者は、フィッシングメールの配信成功率を高めるために Microsoft 365 のインフラストラクチャを悪用した
• HTML 添付ファイルは、Microsoft サービスを装った認証情報収集ページを配信した
• カレンダーの招待状（ICS ファイル）は、二次的なインタラクションチャネルとして機能した
• このキャンペーンは Salesforce ワークフロー内でも確認されており、ビジネスコンテキストによってユーザーの信頼が高まっている
• この攻撃は、脆弱性の悪用ではなく、信頼されたプラットフォームの悪用とユーザーとのインタラクションに依存している

期間と範囲

T確認された最も初期の活動は2025年9月に遡り、2026年4月17日現在もキャンペーンは継続中である。

観測されたテレメトリの大部分は米国を拠点とする組織に集中しており、欧州やその他の地域でも追加の活動が確認されている。標的となった組織は、法務サービス、金融サービス、製造業、教育、消費財など、複数のセクターに及んでいる。

標的の分布から、特定の業界や地域に焦点を当てたものではなく、機会を捉えたキャンペーンであることが示唆される。

ソーシャルエンジニアリングの餌

このキャンペーンでは、説得力のある複数のテーマが使用されている：

ドメインの有効期限切れ／更新失敗 — サービス中断に関する緊急警告

Microsoftサブスクリプションの支払い失敗 — サービスの継続性に影響する請求上の問題

給与明細書の配信 — 社内の給与関連通信を装ったもの

SharePointファイル共有 — 偽の共同作業リクエスト

学術機関への招待 — 特定の教育機関に向けたメッセージ

このスキャンでファイルが悪意のあるものと識別された場合、アップロードは直ちにブロックされ、ファイルはSalesforce環境に保存されることはありません。

フィッシングメールの例

フィッシングメールの例

これらの餌は、緊急性や文脈上の権威を利用して、即座の行動を促すものです。

メール認証の回避

このキャンペーンは、メール認証を完全に回避するのではなく、その制約の範囲内で動作することで配信を実現しています。

送信ドメインには、以下のSPFレコードが設定されていました：

v=spf1 include:spf.protection.outlook.com ~all

Tこの設定には、いくつかの意味があります：

• Microsoft 365インフラストラクチャは、当該ドメインに代わって送信することを明示的に許可されています
• ~all（ソフトフェイル）ポリシーにより、SPFチェックに失敗した場合でもメッセージの送信が許可されます
• DMARCポリシーは定義されておらず、適用は受信システムに委ねられています

これは、メールヘッダーで確認された送信元IPの1つに対するSPFの結果です：

送信元IP（146.20.65.91）は当該ドメインのSPF認証に失敗しましたが、ソフトフェイルポリシーとDKIMの通過により、メールは依然として配信されました。

確認されたサンプルでは、送信元IPはSPF検証に失敗しましたが、以下の理由によりメッセージは依然として配信されました：

• DKIM検証が成功した（攻撃者が署名ドメインを制御している）
• DMARCポリシーによる拒否が適用されていない
• 複合認証の結果が、フィルタリングシステムにとって許容範囲内と見なされた

これは、認証チェックに合格したからといって正当性を示すものではないことを示しています。それは単に、メッセージが認証モデルに準拠していることを意味するに過ぎません。

M365テナントの悪用

フィッシングメールは、Microsoft 365テナントのインフラストラクチャを経由してルーティングされていました。

攻撃者は、無料トライアル、侵害されたアカウント、または闇市場を通じてテナントを登録または取得し、それらを利用して正規のMicrosoftインフラストラクチャ経由でメッセージを送信した可能性が高い。

メール内で確認されたMicrosoft生成のヘッダーフィールドは、送信セッションに関連付けられた認証済みテナントを特定する。これらのフィールドはMicrosoftシステムによって書き込まれ、外部から偽造することはできないため、正規のテナントインフラストラクチャが使用されていることが確認される。

脅威アクターが使用したテナントIDの例

Eメールの添付ファイル：二重配信アプローチ

Each phishing email contains two attachments:

各フィッシングメールには2つの添付ファイルが含まれています：

• HTMLファイル — 主要な認証情報収集ペイロード
• iCalendar (.ics) ファイル — 二次的な配信ベクター

この二重配信アプローチにより、単一チャネル防御に対する耐性が高まり、受信者に対して複数のインタラクション経路が生成されます。

HTML添付ファイル：認証情報収集ツール

HTML添付ファイルは、偽のMicrosoftログイン画面を表示します。

開くと、以下の動作を行います：

• Microsoftブランドの読み込みシーケンスを表示
• 攻撃者が制御するサブドメインを動的に生成
• 認証情報を収集するように設計されたフィッシングインターフェースを読み込み

偽の読み込みプロセス

偽の読み込みプロセス

偽のログインプロンプト

偽のログインプロンプト

一般的なMicrosoftテーマのページに加え、一部のHTML添付ファイルは、GoDaddyなどのプロバイダーを装ったドメイン更新やサブスクリプション通知など、特定のシナリオに合わせてカスタマイズされています。

偽のGoDaddyログインページ

このフィッシングキットは、/impactや/track-clickといったURLパスを使用し、非標準ポート（例：8443、2083）経由で攻撃者が制御するエンドポイントにリクエストを送信することで、ユーザーの操作を追跡します。これにより、オペレーターはユーザーの関与状況を監視し、攻撃のその後の段階を調整することが可能になります。

追跡エンドポイントのURL形式

追跡エンドポイントのURL形式

カレンダー招待：二次的な配信ベクトル

Calendar（.ics）の添付ファイルは、会議の招待として配信されます。

ICSはさまざまなプラットフォーム（Outlook、Googleカレンダー、Appleカレンダー、モバイルクライアント）で広くサポートされているため、信頼性の高いクロスプラットフォームの配信メカニズムを提供します。

メールクライアントの動作や設定によっては：

• イベントがカレンダーに自動的に追加される場合がある
• プレビュー時や操作時にイベントが表示される場合がある
• ユーザーが招待を明示的に承諾しなくても関与してしまう場合がある

カレンダー招待

カレンダーに追加されたカレンダー招待

ICS添付ファイル自体には、実行可能な悪意のあるコンテンツは含まれていません。その代わり、ソーシャルエンジニアリングおよび配信のメカニズムとして機能し、ユーザーをフィッシングのペイロードへと誘導します。

Salesforceワークフローでの観測

当社は、このキャンペーンをSalesforceワークフロー内で観測しました。これは重要な点です。なぜなら、Salesforceは信頼されたビジネス環境内で動作しており、ユーザーは正当な業務コンテンツを期待しているからです。CRMワークフローに表示されるコンテンツは、期待される業務活動と一致するため、ユーザーの疑念を和らげる可能性があります。

この文脈において：

• フィッシングコンテンツは、正当なワークフロー（例：請求書、給与計算、ドキュメント共有）と整合性があるように見える
• 配信チャネルが、正当性に対する認識を強化する
• この攻撃は、従来の電子メール中心の脅威モデルには当てはまらない可能性がある

フィッシングペイロード自体の動作は、配信チャネルに関係なく同じです。しかし、Salesforceを介して配信される場合、文脈上の信頼性により、ユーザーが操作を行う可能性が高まります。

検 知

WithSecure™ Cloud Protection for Salesforceは、このキャンペーンに関連する悪意のあるHTML添付ファイルを「PHISH/HTML.Agent」として検知します。

この検知は、以下の特徴を持つ認証情報収集ページを対象としています：

• 攻撃者が制御するURLを動的に生成する
• Microsoftの認証ポータルを偽装する
• ユーザーの認証情報を収集する

結 論

このキャンペーンは、攻撃者がシステムを直接回避しようとするのではなく、信頼されたシステム内で活動する傾向が強まっていることを示しています。

このアプローチにより、従来の回避手法への依存度が低下し、代わりに広く採用されているプラットフォームへの信頼を悪用するようになります。

これらの手法を組み合わせることで、攻撃者は技術的に正当に見えるメッセージを作成します：

• 正当な Microsoft 365 インフラストラクチャ
• DMARC の適用が不十分、または未実施
• 有効な DKIM 署名
• マルチチャネル配信（メールとカレンダー）

Salesforceのワークフロー内でこの活動が確認されたことは、より広範な変化を浮き彫りにしています。フィッシングの脅威はもはや電子メールに限定されず、ユーザーが本質的にその文脈を信頼しているビジネスアプリケーションへと拡大しています。

攻撃者が信頼されたプラットフォームやワークフローを悪用し続ける中、電子メールのセキュリティのみに注力する組織は、日々の業務に深く組み込まれたシステムにおける脆弱性を見落とすリスクがあります。

推奨事項

• サービス関連の緊急メールやカレンダーの招待状には注意を払う
• Microsoftのログインポータルを装ったHTML添付ファイルは開かない
• 公式ドメイン経由でMicrosoftサービスに直接アクセスする
• カレンダーの自動承諾設定を確認する
• 信頼性の指標としてSPF/DKIM/DMARCの結果のみに依存しない

侵害の兆候

以下の兆候は、キャンペーンのサンプル分析を通じて特定されました。

インフラストラクチャの指標（IP、ドメイン、テナントID）は、攻撃者によって変更される可能性があることに注意してください。

• M365 テナント ID:

• 6449efea-a175-42ba-b4fe-aaf702600f14 
• 7c8f16fe-b88a-438e-850b-cc8160aefa6d 
• d87ee9b3-0568-4108-9977-1462d082e09b 
• 0714db3d-882f-41c4-8579-3146af5c2abb 

• IPアドレス：
• 146.20.65.91
• 146.20.87.4
• 31.58.144.13

• ドメイン:
  • anaksakti77[.]orgtouchepasamonflic[.]frklinikdrdewi[.]comhaoranchalerkotha[.]comkhaskhoborbd[.]combhkbbmta110[.]comcash4d10[.]xyzblitz168asia[.]comblitz168app[.]comwalshmanagement[.]cadoctorsbusinesshub[.]comanaksakti[.]onlineautomedsos[.]comrichalfahad[.]combishalacademy[.]comuttarabusinessclub[.]comcloudeducation[.]xyznexgenictchampsolympiad[.]com102naga26[.]comigromaster[.]infon8nblitz[.]sbswaroengindo89[.]comytccomputer[.]comcss.nokhbabd[.]com

• ファイル名のパターン:
  • Admin_Center_MSA[username]_[digits]_.htmAdmin_Center_[name]_[digits]_.htmOnline admin center [random].PDF.HTMSharePoint_Workspace_Team_review, [timestamp]-[digits].htmMs-Portal-SupportHub_[encoded].htmTUlNRS1WZXJzaW9uOiAxLjAKQ29udGVudC1UeXBlOiB0ZXh0L2h0bWw (base64 decodes to “MIME-Version: 1.0\nContent-Type: text/html”)Remittance_Review_[string].htmPayOps Asset Ltd – RTI Full Payment Submission (FPS) for [month]_[random].htmABH Asset Ltd – RTI Full Payment Submission (FPS) for [month]_[random].htm