メール脅威レーダー – 2025年9月

2025.10.20

2025年9月23日、脅威分析チーム

先月、バラクーダの脅威分析チームは、世界中の組織を標的とした複数の注目すべきメールベースの脅威を特定しました。主な脅威は以下の通りです：

Tycoon および EvilProxy フィッシングキット：Microsoft OAuthを悪用し、アクセス権を取得しURLを悪意のあるページへリダイレクト
クラウドベースのサーバーレス環境、ウェブサイト作成サイト、ビジュアル生産性ツールなど、より広範なオンラインプラットフォームを悪用してフィッシングページを作成・ホストする攻撃者
概要：Google翻訳の悪用、DirectSend、Google Classroom、Meetを標的とした詐欺

フィッシング集団がMicrosoft OAuthを悪用し、ステルスアクセスを実現

脅威の概要

OAuthは、ユーザーがパスワードを共有せずにMicrosoft 365などのサードパーティアプリケーションにログインできる広く採用された標準です。この利便性が新たな攻撃対象領域を生み出しました。バラクーダを含む業界全体のセキュリティ研究者は、OAuth実装の脆弱性を標的とし、アカウントやデータへの不正かつ持続的なアクセスを得る高度なフィッシング・アズ・ア・サービス（PhaaS）キットを確認しています。

OAuthの悪用により、攻撃者は以下が可能になります：

アクセストークンの窃取
ユーザーなりすまし
盗まれた／乗っ取られたクライアント認証情報を使用した、アカウントや個人データへの静かなアクセス
悪意のあるアプリケーションを登録し、信頼性があるように見せかけてユーザーを騙し、アクセス権限や制御権限を付与させる
ログイン時やリダイレクト時に使用されるウェブサイトアドレスの脆弱なチェックを悪用
自動ログイン機能を悪用し、ユーザーの知らないうちに認証コードを窃取
広範な事前設定済みAPI権限を付与する.defaultスコープを要求・悪用し、アクセストークンを取得した攻撃者が権限を昇格させ機密リソースにアクセスできるようにする

バラクーダの脅威アナリストが確認したOAuth攻撃は、ソーシャルエンジニアリングに基づく大規模・自動化・効率化されたPaaS攻撃である。

攻撃者はMicrosoft OAuth URLを改変して攻撃を実行する。

正規のMicrosoft OAuth URLは以下のような形式です：

各要素は以下の通り分解できます：

client_id: Microsoftに登録されたアプリケーションを識別するコード
response_type: OAuthサーバーに対し、アクセストークン取得に使用されるセキュアな認証コードフローを開始する認証コードを返すよう指示する
redirect_uri: 信頼されたリダイレクトURI
scope: 基本情報の要求（本人確認、プロフィール情報、メールアドレス）を示します。
state: リクエスト開始時に特別なコードまたはトークンを生成するようシステムに指示します。リクエストが戻ってきた際にこれを検証することで、攻撃者が設定変更や許可なしのメッセージ送信を企てるのではなく、本人からのリクエストであることを確認します。
prompt: 「select_account」というフレーズは、認証前にアカウント選択を強制し、本当に本人であるか、侵入を試みる攻撃者ではないかを確認します。

悪意のあるOAuth URLは少し異なる

以下の最初の例は、Tycoon 2FA攻撃によるものです。ユーザーはMicrosoftを装ったフィッシングサイトにリダイレクトされ、ログイン認証情報を盗むように設計されています。すべてのリンクは攻撃者が制御する要素にリダイレクトされます。

二つ目の例はEvilProxyを利用し、攻撃者が多要素認証を迂回してセッションを乗っ取ることを可能にします。

EvilProxyリンクでは「prompt=none」が使用されています。これによりログインプロンプトが抑制され、ユーザーが既にサインインしている場合、何の操作もせずに静かにリダイレクトされます。

ユーザーが未サインイン状態、または同意が必要な場合、サーバーはユーザーにプロンプトを表示せずエラーを返します。これによりアプリケーション（または攻撃者）は、ユーザーを中断させることなくトークンの更新やセッション状態の確認が可能になります。

これらの攻撃では通常、攻撃者がEntra ID（Azure AD）テナント内に悪意のあるアプリケーションを登録する必要があります。これらの悪意のあるアプリは、正当なアプリやサービスを模倣するよう巧妙に設計されています。

攻撃者はMicrosoftのOAuthフローを悪用し、メール・ファイル・カレンダー・Teamsチャット・管理APIなど非常に広範な権限（スコープ）に対する自動的なユーザー同意を要求します。

ユーザーが知らずに同意を許可すると、攻撃者はOAuthトークンを介してアクセス権を取得できるため、パスワードや多要素認証を必要とせずにユーザーアカウントにアクセス可能になります。

より深刻なシナリオでは、攻撃者はOAuthフローを完全に迂回し、代わりにMicrosoftの公式サインイン画面を精巧に模倣した偽装ログインページへユーザーをリダイレクトします。ユーザーが知らずに認証情報を入力すると、攻撃者はそれらをキャプチャし、アカウントへの完全なアクセス権を取得する可能性があります。

OAuth環境を安全に保つための対策

信頼できるリダイレクトリンクのみを許可し、ログイン後にユーザーが安全で既知のウェブサイトに送られるようにします。
各ログインリクエストに秘密コードを追加し、正当なユーザーからのリクエストであることを確認することを検討してください。
システムが自動的にアカウントを選択しないようにし、ユーザーにアカウントを選択するよう求めます。
ログイントークンが本物であり、期限切れではなく、あなたのアプリ向けであることを確認し、盗まれた場合に再利用できないよう、有効期限が短いトークンを使用します。
連絡先やファイルなど、必要以上のデータへのアクセスを要求しないでください。
開発者とユーザーにリスクの見分け方とOAuthの正しい使用方法を指導してください。
ログを保持し、不審な場所からのログインなど異常な動きを検知しましょう。

サーバーレスコンピューティングプラットフォーム、ウェブサイト作成ツール、生産性向上ツールを悪用したフィッシングホスティング

脅威の概要

攻撃者が信頼性の高いクラウドコラボレーション、文書管理、オンラインフォームプラットフォームを悪用し、そのアクセシビリティと評判を利用してフィッシングキャンペーンがセキュリティフィルターを回避しユーザーの信頼を得る手口については、以前報告しました。

現在では、コードホスティングやサーバーレスコンピューティングプラットフォーム、ウェブサイト開発ツール、オンライン生産性ツールを悪用し、フィッシングサイトや悪意のあるコンテンツを作成・配布する攻撃者も確認されています。

LogoKitによるJavaScriptサーバーレスプラットフォームの悪用

サーバーレスコンピューティングプラットフォームは、アプリケーション開発者がインフラ投資なしで新規アプリを構築・実行できるように設計されています。アクセシビリティ、導入の容易さ、スケーラビリティといった特長は、正当なドメインを隠れ蓑とするフィッシング集団にも悪用されています。バラクーダの脅威アナリストは最近、LogoKit PhaaS（Phishing as a Service）がクラウド上で小さなJavaScriptやTypeScriptスニペットを実行するサーバーレスプラットフォームを悪用する事例を確認しました。このプラットフォームは公開URLの使用とコードスニペットからの即時デプロイを可能にしており、攻撃者のプロセスをさらに簡素化しています。

バラクーダが確認した攻撃は、Roundcube Webmailを装った巧妙なメールから始まります。受信者のパスワードがまもなく期限切れになると偽り、「パスワードを保持」ボタンをクリックさせるとフィッシングサイトへ誘導します。悪意のあるコンテンツはサーバーレスプラットフォーム上にホストされています。

LogoKitは被害者のメールドメインに基づき動的に自身をカスタマイズすることで攻撃を最適化します。悪用サイト上でフィッシングURLを作成するのは極めて簡単です。攻撃者はわずか数行のJavaScriptまたはTypeScriptをデプロイするだけで、以下に示すように最小限の設定で即座に有効な共有可能URLを生成できます。

EvilProxyによるウェブサイト作成ツールと生産性ツールの悪用

バラクーダの脅威アナリストは最近、人気ウェブサイト作成ツールとビジュアル生産性ツールの両方を悪用するEvilProxyフィッシングキットを検出しました。

最初の事例では、攻撃者はフィッシングメールを送信し、被害者にボタンをクリックして文書を開くよう促します。実際にはメール全体が単一の画像であり、その画像に埋め込まれたリンクが被害者をウェブサイト構築サイトへ誘導します。

2つ目の事例では、攻撃者はOneDrive文書のように見えるメールを標的に送信しますが、メールに埋め込まれたリンクは実際には生産性向上ツールアプリケーションへ接続します。

概要

Google翻訳を悪用したトラップドア

攻撃者はGoogle翻訳のURL構造を悪用し、悪意のあるドメインを「translate.goog」のサブドメインのように見せかけてエンコードしています。

これは元のドメイン内のドットをハイフンに置き換える手法で、URLを正当なGoogleサブドメインのように見せかけます。無防備なユーザーには、Googleのインフラ下でホストされているように見えるため、リンクは安全に映ります。

「.goog」ドメインは通常デフォルトで信頼されるため、これらのリンクはメールやウェブセキュリティフィルターを迂回することが多く、フィッシングキャンペーンの成功率を高めています。

詐欺師がSendGridユーザーを標的に

高度なフィッシングキャンペーンがTwilio SendGridの顧客を標的に展開中です。「メール配信に影響するAPIエラー」や「Webhookエンドポイントが応答しない」といった技術的な件名を使用し、開発者やITチームを騙して悪意のあるリンクをクリックさせます。

この攻撃は正当なシステム警告を模倣し、自己増殖型となる——ユーザーの認証情報が盗まれると、侵害されたSendGridアカウントは、信頼できる送信元からより多くのフィッシングメールを送信するために利用されます。これらのアカウントは有効なメール認証（SPFおよびDKIM）レコードを持つため、フィッシングメールはセキュリティフィルターを迂回し、本物のように見えます。目的は偽のログインページを通じてさらなる認証情報を盗み出し、SendGridエコシステム内で継続的な侵害の連鎖を生み出すことです。

Google ClassroomとMeetがスパマーや詐欺師の標的に

攻撃者はClassroomやMeetといった信頼性の高いGoogleサービスを悪用し、主に製品・サービスの販売を装った偽の「再販業者」や金儲けの提案でユーザーを標的とした大規模なスパム・詐欺キャンペーンを展開しています。

これらの詐欺では通常、偽のGoogle Classroomクラスを作成するか、大量のMeet招待状を送信します。招待状はランダムな文字列でタイトル付けされることが多いものの、魅力的なマーケティングや収入機会を宣伝するように仕組まれています。説明文や招待状にはWhatsApp番号が記載され、ユーザーに連絡を促します。

この時点で実際の詐欺が展開され、詐欺行為や欺瞞的なマーケティングスキームへと移行します。Googleプラットフォームの信頼性を悪用し、コミュニケーションをWhatsAppに移行させることで、攻撃者は従来のセキュリティフィルターを効果的に回避し、被害者をクロスプラットフォーム詐欺へと誘い込みます。