攻撃の概要
2025年12月、エクサフォースは、お客様の従業員の1人に対して Adobe Acrobat のリンクを使った不審なフィッシングメールが送信されたとの連絡を受けました。そのリンクは従業員をPDFファイルへ誘導し、さらにそのPDFからフィッシングサイトへリダイレクトしていました。
私たちは、このフィッシングの試みとユーザーをだましたページを分析し、Adversary-in-the-Middle(AiTM)攻撃を用いて認証情報を窃取しようとする悪意ある試みであると判断しました。
メールから認証情報窃取までの攻撃チェーン
攻撃者は、標的企業の取引先企業の1社で侵害されたアカウントを使い、標的企業の複数のユーザーにメールを送信しました。これにより、受信者がメールの送信元を不審に思いにくくなります。
メールの文面から、攻撃者は「ファイルサイズが大きすぎるため、リンクで送る必要があった」と説明し、標的ユーザーにAdobeのリンクを送っていたことが分かりました。
こんにちは。添付ファイルでいくつか書類を送ろうとしたのですが、ファイルサイズが大きすぎたため、セキュリティ上の理由から Adobe Secured Upload を使って再送しました。
この時点で被害者には、見覚えのある取引先から届いた正規のメールに見え、侵害を疑わせる明確な兆候はありません。
悪意あるPDF内のリンクは、以下の形式になっていました。
リンクをクリックすると、被害者には下部に埋め込みリンクがある1ページのPDFが表示されます。
被害者は、Adobeの正規インフラ経由で安全な文書にアクセスしていると思い込み、「安全な文書を表示」リンクをクリックします。
このリンクは、標的を認証ページへ誘導し、その後 Google のサインインページへリダイレクトします。
この偽の認証ステップは、正規のボット検出サービスを模倣することで、認証情報窃取の前にさらに正当性があるように見せかけています。
このページは、Web Hosting 用に設定された GCP のストレージバケット上で、offline_attachment.html というファイルとしてホストされていました。
被害者には、Google の正規のブランド表示と見慣れたログイン画面が表示されるため、リアルタイムで認証情報が傍受される悪意あるページ上にいることに気付きません。
標的が認証情報を入力すると、403エラーメッセージが表示され、共有されたファイルへのアクセス権がなかっただけのように見えます。
被害者はアクセス拒否を権限の問題だと受け取り、自身の認証情報とセッショントークンがすでに盗まれていることに気付きません。
この攻撃では、AiTMの手法を用いてメール認証情報、パスワード、MFAトークンが窃取されました。攻撃者は、被害者と Google の正規サインインページとの間で認証リクエストをリアルタイムに傍受・中継し、アクティブなセッショントークンを取得することでMFA保護を回避します。
攻撃の分解
offline_attachment.html を分析すると、このファイルには難読化されたJavaScriptコードが含まれており、変数 k に格納された XOR 暗号化済みの blob がページ読み込みコードとして機能していることが分かります。関数 r は、変数 h と t を XOR キーとして使って復号を行います。
変数 k を復号すると、そのコードは Base64 エンコードされたURLからコンテンツを読み込む iframe をページ上に動的生成します。
URL の値は tag[.]likorai[.]za[.]com で、パスはその場で生成されます。
攻撃者のURLには、フィッシングページを起動する id パラメータが含まれています。このパラメータがない場合、サイトは検知回避のためにランダムなデコイページを表示します。
エクサフォースがどのように検知し、対応したか
エクサフォースのプラットフォームは、メールパターンの振る舞い分析と送信者レピュテーションの異常を通じて、不審な Adobe Acrobat リンクを検知しました。私たちの調査により、最初のフィッシングメールから、難読化されたJavaScript、さらにGCP上でホストされた認証情報窃取インフラに至るまで、攻撃チェーン全体が明らかになりました。
XOR暗号化されたコードをリバースエンジニアリングしたことで、悪意あるドメインとホスティング基盤を特定しました。この分析により、同様のフィッシングメールに接触していた従業員がさらに3人いることも判明し、攻撃が組織内でさらに拡大する前に迅速な封じ込めを行うことができました。
防御戦略
組織は、次の対策によってこの種のAiTMフィッシング攻撃から身を守ることができます。
- 認証ログを監視し、不審なサインイン元、不可能な移動、認証イベント直後の急速なセッション確立などの異常を確認します。侵害の可能性があるアカウントについては、すべてのアクティブセッションを直ちに失効させ、盗まれたセッショントークンを無効化します。
- メールセキュリティプラットフォームに必要な権限を付与し、メッセージ本文の解析、添付ファイルからのURL抽出、送信者の振る舞いやコンテンツ特性における不審なパターンの特定を可能にします。
- デバイス準拠状況、ネットワークロケーション、リスクシグナルに基づいて認証を制限する条件付きアクセスポリシーを実装し、攻撃者が認証情報の窃取に成功した場合でも、その悪用可能性を抑えます。
- ハードウェアセキュリティキー(FIDO2/WebAuthn)など、フィッシング耐性を備えた認証方式を導入します。これらは接続先ドメインを暗号学的に検証するため、リアルタイムの中間者攻撃では傍受できません。
今回のフィッシング事案から得られる教訓
この攻撃は、MFAが盗まれた認証情報への対策としては有効でも、攻撃者が認証フロー全体をリアルタイムで傍受する場合には防ぎきれないという限界を示しています。攻撃者は、被害者と Google の正規サインインページの間に入り込むことで、パスワード、MFAコード、さらにはパスワード変更後も継続的なアクセスを可能にするアクティブなセッショントークンまで取得できます。さらに、Adobe や Google Cloud Platform といった信頼された基盤を悪用することで、ユーザーの警戒心と従来のセキュリティ対策の双方を回避していました。
組織は、従来型のMFAだけではAiTM攻撃に不十分であることを認識し、フィッシング耐性のある認証方式へ移行する必要があります。これに振る舞い分析と迅速なインシデント対応能力を組み合わせることで、より多くのアカウントが侵害される前に、高度なフィッシングキャンペーンを検知・封じ込めることができます。
