近年、サイバー攻撃者はその手口を巧妙化させ、企業や個人が日常的に利用する信頼性の高いプラットフォームを悪用する傾向が顕著になっています。特に、クラウドストレージサービスやPDFのような一般的なファイル形式は、その利便性と普及率の高さから、悪意ある活動の隠れ蓑として狙われやすくなっています。これらのサービスは、正規のビジネスコミュニケーションに不可欠であるため、ユーザーは無意識のうちに警戒心を緩め、結果として巧妙なフィッシング詐欺の餌食となるリスクが高まっています。
クラウドストレージの代表格であるDropboxは、世界中で7億人以上の登録ユーザーを抱え(Darktraceの報告による)、そのファイル共有の簡便さから広く利用されています。しかし、この「信頼」こそが、攻撃者にとって格好の標的となる要因です。攻撃者は、Dropboxの正規インフラストクチャを悪用することで、マルウェアのダウンロードを促したり、機密性の高いログイン情報を窃取したりするなど、多岐にわたる悪意ある活動を展開しています。
従来のフィッシング攻撃が不審なリンクや添付ファイルに依存していたのに対し、最新のキャンペーンでは、正規のサービスから送信されたかのようなメールや、クラウド上にホストされた無害に見えるPDFファイルを介して、多段階にわたるリダイレクトを行うことで、セキュリティフィルターを回避しようとします。これにより、ユーザーは複数の段階を経て偽のログインページへと誘導され、自身の認証情報を入力してしまう危険に晒されるのです。
本稿では、ForcepointとDarktraceがそれぞれ分析した二つの異なる、しかし共通の戦術を持つフィッシングキャンペーンを詳細に掘り下げます。これらの事例は、いかに攻撃者が既存の信頼関係を悪用し、現代のサイバーセキュリティ対策をすり抜けているかを示すものであり、企業や個人が直面する新たな脅威の現実を浮き彫りにします。
Forcepointが警告する多段階フィッシングの巧妙な手口
2026年2月2日、ForcepointのX-Labsチームは、信頼されたプラットフォーム、無害なファイル形式、そして多層的なリダイレクトを悪用して、メールやコンテンツスキャンを回避する多段階フィッシングキャンペーンを検出したと報告しました。この攻撃は、一見すると通常の調達プロセスや入札手続きの一部であるかのような、プロフェッショナルなビジネスメールから始まります。メール本文には悪意のあるリンクは一切含まれておらず、添付された「注文書」の確認とビジネスメール認証情報でのサインインを促す内容でした。
このキャンペーンの巧妙さは、その主要な配信メカニズムとしてPDF添付ファイルに依存している点にあります。添付されたPDFファイル「2026_PO_I0I_Jan_25_LGXZ.pdf」は、/FlateDecode圧縮ストリームと/AcroFormオブジェクトを使用しており、AcroFormはインタラクティブな要素を埋め込むためによく悪用される形式です。ユーザーがPDFを開くと、「オンラインで仕様書を見るにはこちら」というテキストに埋め込まれたクラウドホスト型リンクが示されます。
このリンクは、`hxxps[://]nte2srryro7jecki[.]public[.]blob[.]vercel-storage[.]com/ProductLists[.]pdf`という、Vercel Blobストレージのような正規のクラウドインフラストクチャ上にホストされた別のPDFファイルへと誘導します。攻撃者は、評判の良いプラットフォームに対する暗黙の信頼を悪用することで、多くの自動セキュリティチェックを回避しようとします。この段階で、被害者はまだ悪意のあるサイトに直接アクセスしているわけではないため、疑念を抱きにくい構造になっています。
しかし、Vercel上にホストされたPDFドキュメントは、最終的に「`hxxps[://]tovz[.]life/bid-doc2026[.]php/?ai=xd`」という新規登録された不正なウェブサイトへとリダイレクトされます。このサイトはDropboxのログインインターフェースを模倣しており、ユーザーに馴染みのある画面で認証情報の入力を促します。入力されたメールアドレスとパスワードは、JavaScriptによって収集され、ユーザーのIPアドレスや地理情報(都市、地域、国、ISP)と共に、ハードコードされたボットトークンとチャットIDを使用してTelegramボットに送信されます。データ送信後、偽のログインページは常に「無効なメールアドレスまたはパスワード」というエラーメッセージを表示し、被害者にログインが失敗したと信じ込ませることで、攻撃の痕跡を隠蔽しようとします。
ユーザーの「信頼」を逆手に取る攻撃者の心理戦
Forcepointが分析したような多段階フィッシングキャンペーンが成功する背景には、攻撃者がユーザーの心理と行動パターンを深く理解しているという事実があります。CSO Onlineの記事でBeauceron Securityのデビッド・シップリー氏が指摘するように、「この攻撃は、通常のビジネス行動を模倣しているため機能する」のです。ユーザーは日常的にPDFファイルを交換し、Dropboxのようなクラウドサービスを利用しているため、これらの形式やプラットフォームに対する「信頼」が自然と形成されています。
Info-Tech Research Groupのテクニカルカウンセラーであるエリック・アバキアン氏は、このキャンペーンが「非常に良く練られている」と評価し、「どの単一の段階を見ても、エンドユーザーには明らかに異常な点は見えない」と述べています。最初のメールはクリーンでフィルターを通過し、最初のPDFは正常に開き、正規のクラウドサービスにホストされているように見え、そしてDropboxのログインページも本物そっくりに見えます。ユーザーは「クリック」という単一の行動に集中しがちで、攻撃の「連鎖」全体を俯瞰して考えることは稀であるため、各ステップが「嗅覚テスト」を通過してしまうのです。
長年にわたるセキュリティ警告にもかかわらず、なぜ人々はPDFやDropboxをこれほどまでに信頼し続けるのでしょうか。アバキアン氏は、「歴史的に、実際にそうするように訓練されてきたからだ」と説明します。PDFは請求書、契約書、人事フォームなど、ビジネスの世界で安全な読み取り専用ドキュメント形式として位置づけられてきました。Dropboxもまた、従業員が利用を推奨される主流のビジネスツールとして確立されており、「怪しいファイル共有サイト」ではなくなっています。
攻撃者はこの心理を完璧に悪用します。ユーザーがPDFやDropboxのロゴを見ると、警戒心が自然と低下し、立ち止まって詳細を確認するよりも、迅速な対応を優先してしまうのです。さらに、アバキアン氏が指摘するように、クラウドインフラストラクチャは攻撃者にとって「盾」となっています。セキュリティ意識はユーザーに怪しいドメインを警戒するよう条件付けてきましたが、評判の良いプラットフォームについてはそうではありません。この「古いメンタルモデル」を攻撃者は先取りしているのです。
Darktraceが捉えたDropbox悪用事例:Microsoft 365への連鎖
Forcepointが分析した事例とは異なるものの、同様に信頼されたサービスを悪用するフィッシングキャンペーンが、2024年1月にもDarktraceによって検出されています。この攻撃では、Darktraceの顧客企業の従業員が、Dropboxの正規のメールアドレスである「`no-reply@dropbox[.]com`」から、一見無害に見えるメールを受信しました。このメールには、組織のパートナー企業名を冠したPDFファイルへのリンクが埋め込まれており、そのPDFファイル自体はDropbox上にホストされていました。
Darktraceは、メールとDropboxのエンドポイント自体は正規のものであったにもかかわらず、このPDFファイル内に、顧客環境でこれまで一度も観測されたことのない不審なドメイン「`mmv-security[.]top`」へのリンクが含まれていることを特定しました。このメールの送信元が正規のサービスであったとしても、そのイニシエーターが過去に組織内の誰とも連絡を取ったことがないという異常な行動をDarktraceは検知し、即座に疑わしいと判断しました。
このような「`no-reply@dropbox[.]com`」のような固定アドレスから自動送信される正規サービスからのメールは、悪意のあるリンクをユーザーにクリックさせるための常套手段として攻撃者に利用されがちです。正規のメールと悪意のあるメールを区別することが非常に困難であるため、従来のメールセキュリティツールでは検出をすり抜け、結果として破壊的なアカウント乗っ取りにつながる可能性があります。
Darktrace / EMAILは、この検出を受けて直ちにメールを保留し、従業員の受信トレイに届くのを阻止するとともに、不審なドメインへのアクセスを防ぎました。オープンソースインテリジェンス(OSINT)の調査により、この「`mmv-security[.]top`」ドメインが、複数のセキュリティベンダーによってフィッシングに関連すると報告された、新しく作成されたエンドポイントであることが判明しました。しかし、残念ながら、この顧客の従業員は、Darktraceがリンクをロックし、メールを迷惑メールフォルダに移動させたにもかかわらず、最終的に不審なメールを開き、PDFファイルへのリンクを辿ってしまいました。その結果、ユーザーは偽のMicrosoft 365ログインページに誘導され、認証情報を窃取される危険に晒されたのです。
認証を突破し、内部を攪乱する巧妙な手口
Darktraceが監視していた事例では、初期感染後、侵害されたMicrosoft 365アカウントで一連の不審なSaaSアクティビティが観測されました。1月31日から、これまで一度もアカウントにアクセスしたことのない複数の異常な場所、例えば「73.95.165[.]113」からのログインが検出されました。さらに2月1日には、「194.32.120[.]40」と「185.192.70[.]239」というエンドポイントからの異常なログインが確認され、これらはいずれもExpressVPNに関連付けられていました。その後も「87.117.225[.]155」というHideMyAss(HMA)VPNサービスに関連する別の異常な場所からのログインが記録されており、攻撃者が自身の真の所在地を隠蔽するためにVPNを積極的に利用していたことが示唆されます。
驚くべきことに、これらのログイン時に攻撃者は有効な多要素認証(MFA)トークンを使用していたとDarktraceは報告しています。これは、攻撃者が顧客のMFAポリシーを正常に回避したことを意味します。従業員が意図せず攻撃者にMFAトークンを提供したか、あるいはログイン検証要求を承認してしまった可能性が高いと推測されます。MFAが「万能薬」と見なされがちな中で、有効なトークンと認証要件を満たすことで、従来のセキュリティツールによる検出をすり抜けることができるという、MFAの限界を浮き彫りにする事例となりました。
しかし、Darktraceの異常ベースの脅威検出アプローチは、正規の認証情報を使用し、認証要件を通過したとしても、デバイスやSaaSアカウント上の予期せぬ活動を迅速に特定し、顧客のセキュリティチームに警告を発することができました。異常なログインに続いて、攻撃者は侵害されたOutlookアカウントに新しいメールルールを作成しました。この「....」と名付けられたルールは、組織のアカウントチームからのメールを直ちに「会話履歴」メールボックスフォルダに移動させることを目的としていました。
これは、フィッシングキャンペーン中に攻撃者がよく用いる戦術であり、自身の悪意のあるメール(およびそれに対する潜在的な返信)が、ターゲットネットワーク上で検出されにくい、あまり頻繁に訪問されないメールボックスフォルダに自動的に移動されるように仕向けるものです。さらに、このメールルールに「....」という一般的な名前を付けることで、正規のアカウント所有者や組織のセキュリティチームの注意を引きにくくしていました。その後、攻撃者は侵害されたアカウントを使用して、「不正確な契約書」や「緊急レビューが必要」といった件名で、正規のアカウント所有者が以前送信したメールの更新版を送信し、組織のアカウントチームにさらなる悪意のあるメールを送りつけ、追加のアカウントを侵害しようと試みていました。
進化する脅威への対抗策とセキュリティ意識の再構築
このような巧妙なフィッシング攻撃に対抗するためには、従来のセキュリティ対策を再評価し、進化する脅威に対応できる新たなアプローチを導入することが不可欠です。CSO Onlineの記事でForcepointのコンテンツマーケティングスペシャリストであるライオネル・メンチャカ氏が指摘するように、従業員は請求書や発注書、契約書が確認済みのベンダーや関連会社から送られてきたものであるかを検証するよう訓練される必要があります。検証できない場合は、不審なメールをITまたはセキュリティチームに報告することが求められます。
Beauceron Securityのデビッド・シップリー氏は、従業員が頻繁な休憩を取るなど、良好なメール処理習慣を身につけることの重要性を強調しています。多くのメールクリック(彼の推定では約40%)は、人々が「自動操縦」状態で、深く考えることなく本能的に行動しているときに発生するといいます。シミュレーションは、このようなルーティンから抜け出すのに役立つでしょう。Info-Tech Research Groupのエリック・アバキアン氏も、「リンクをクリックするな」という単純なセキュリティ意識向上トレーニングではもはや不十分であり、現代のフィッシングは「多段階で、クラウドホスト型であり、ブランドを偽装し、意図的に退屈に見える」ことを理解する必要があると述べています。
PDFファイルはもはや「デフォルトで安全」ではなく、クラウドサービスも「デフォルトで信頼できる」ものではありません。アバキアン氏は、ユーザーがリンクにカーソルを合わせる習慣を身につけること、しかしクラウドホスト型のURLも悪意を持つ可能性があることを理解すること、送信者の「From」アドレスとドメインを確認すること、そして予期せぬ添付ファイル、特に別の場所に誘導するPDFには警戒すること、そしてログインプロンプト、特に間接的にトリガーされるものには一時停止して注意を払うことを推奨しています。セキュリティ意識は、脅威と同様に「成長」しなければならないのです。
クリックは避けられないという現実を踏まえれば、多層的な防御コントロールが被害を限定するために不可欠です。多要素認証(MFA)、条件付きアクセス、異常検知は極めて重要であり、ゼロトラストの考え方を組織文化に組み込むことで、「デフォルトで信頼する」というメンタルモデルを排除することができます。Darktraceの自己学習型AIは、組織のメール環境内で異常な送信者を認識し、たとえメール自体が正規の送信元から来たように見えても、ターゲットの受信トックスに届くのを防ぐことができます。SaaSアカウントが侵害された場合でも、Darktraceは異常なログイン場所や不審なSaaSアクティビティを特定し、顧客のセキュリティチームに迅速に通知することで、被害の拡大を食い止めることが可能です。
信頼の裏側で進行するサイバー犯罪の現実
組織がDropboxのようなサードパーティソリューションを日常業務に採用し続ける限り、脅威アクターはこれらのサービスを悪用し、自身の攻撃ツールキットに加える方法を探し続けるでしょう。本稿で詳述した事例が示すように、攻撃者にとって、これらの正規のサービスを悪意のある目的で悪用することは比較的容易であり、エンドユーザーやセキュリティチームによる検出を回避しながら活動することが可能です。彼らは、自身のインフラストラクチャに依存するのではなく、広く利用され、一見信頼できるインフラストラクチャを悪用して悪意のあるファイルやリンクをホストすることで、フィッシングキャンペーンのような破壊的なサイバー攻撃を実行します。
この戦術は、従来のセキュリティ対策を迂回する可能性がありますが、Darktraceのような高度なAIベースのセキュリティソリューションは、組織のメール環境内で異常な送信者を認識し、たとえメール自体が正規の送信元から来たように見えても、ターゲットの受信トレイに届くのを防ぐことができます。また、SaaSアカウントが侵害された場合でも、Darktraceは異常なログイン場所や不審なSaaSアクティビティを特定し、顧客のセキュリティチームに迅速に通知することで、被害の拡大を食い止めることが可能です。
エリック・アバキアン氏が結論として述べたように、「結局のところ、PDFやDropboxが問題なのではない。問題は、疑うことのない信頼にある」のです。この言葉は、現代のサイバーセキュリティが直面する根本的な課題を明確に示しています。技術的な防御策の強化はもちろん重要ですが、それ以上に、ユーザー一人ひとりが常に警戒心を持ち、デジタル環境における「信頼」の概念を再構築することが、進化し続けるサイバー脅威から身を守るための鍵となります。
サイバー犯罪者は常に新たな手口を模索し、私たちの最も信頼するツールや習慣を悪用しようとします。この絶え間ない攻防において、組織は従業員のセキュリティ意識向上トレーニングを継続的に進化させ、最新の脅威動向を反映した実践的な防御戦略を導入し続ける必要があります。そして、AIを活用した異常検知や自動対応能力を持つセキュリティプラットフォームの導入は、こうした巧妙な攻撃の初期段階で食い止め、被害を最小限に抑えるための不可欠な要素となるでしょう。
参考情報
本記事は以下の情報源を参考に作成されました:
- -Fake Dropbox Phishing Campaign Via PDF and Cloud Storage - https://www.forcepoint.com/blog/x-labs/dropbox-pdf-phishing-cloud-storage
- -New phishing attack leverages PDFs and Dropbox | CSO Online - https://www.csoonline.com/article/4125990/new-phishing-attack-leverages-pdfs-and-dropbox.html
- -Malicious Use of Dropbox in Phishing Attacks - https://www.darktrace.com/blog/legitimate-services-malicious-intentions-getting-the-drop-on-phishing-attacks-abusing-dropbox