攻撃者がProofpointとIntermediaのリンクラッピングを悪用してフィッシングペ��イロードを配信
脅威スポットライト - 2025年7月30日
概要
Cloudflare Email Securityチームは2025年6月から2025年7月にかけて、ProofpointとIntermedia�のリンクラッピングを利用してフィッシングペイロードを隠蔽し、人間の信頼と検出の遅延を悪用して防御を回避するサイバー犯罪者の脅威活動を追跡してきました。
リンクラッピングはProofpointなどのベンダーが設計した機能で、クリックされたURLをことごとくスキャンサービス経由でルーティングし、悪質とわかっている宛先をクリック時にブロックすることによってユーザーを保護します。たとえば、http://malicioussite[.]com へのメールリンクが、https://urldefense[.]proofpoint[.]com/v2/url?u=httpp-3A__malicioussite[.]comになるといった具合です。これは既知の脅威に対しては効果的ですが、クリック時にスキャナーがラップされたリンクにフラグを立てていなければ、攻撃が成功する可能性はまだあります。
Cloudflare Email Securityチームが観測した最近のキャンペーンで、攻撃者がProofpointとIntermediaのリンクラッピング機能をどのように悪用して検出を回避し、Office 365を装ったさまざまなフィッシングページへ被害者を誘導しているかが明らかになりました。被害者は、保護されていないフィッシングリンクよりも「信頼できる」ProofpointやIntermediaのURLをクリックする可能性が高いため、この手法は特に危険です。
Proofpoint
Proofpointのリンクラッピングの悪用は、Proofpointで保護されたメールアカウント(すなわち、すでにProofpoint URLラッピングを利用しているアカウント)への不正アクセスを軸としています。攻撃者はおそらくそれらのアカウントを使って、Proofpointのリンク��ラッピングで悪性URLを「ロンダリング」し、新たに正規化されたリンクをフィッシングキャンペーンで配布します。Proofpointで保護されたアカウントから直接送信する場合もあれば、侵害した別のアカウントやアクターが管理するアカウントを介して送信する場合もあります。
攻撃者は、侵害したアカウントを使って短縮URLを送信する多層リダイレクト悪用など、さまざまな方法でProofpointリンクラッピングを悪用しました。この手法では、攻撃者はまず、Bitlyのような公開URL短縮サービスを利用して悪性リンクを短縮し、難読化します。Proofpointで保護されたアカウントを介して短縮リンクを送信すると、Proofpointがそのリンクをラップし、リダイレクトチェーンを作成します。チェーン内の各リンクが難読化の層を追加します:URL短縮 → Proofpointラップ → フィッシングランディングページ。
以下は、この手法を使ったフィッシングメッセージの例です。メールはボイスメール通知として表示され、ハイパーリングが貼られたボタンを受信者がクリックするように促します。
ラップされたリンクを含む、ボイスメール通知を装ったフィッシングメール
「Listen to Voicemail」ボタンの背後にあるハイパーリンクは、短縮URLを指しています。
このURLはProofpointでラップされたリンクに繋がり、そこから、認証情報を取得するために設計されたMicrosoft Office 365フィッシングページへの一連のリダイレクトが発生します。
認証情報を収集するように設計されたMicrosoftフィッシングページ
この手法によるもう1つの一般的なキャンペーンは、偽の共有Microsoft Teamsドキュメントを使うものです。
Microsoft Teamsドキュメントを装うフィッシングメール
ここでも、「Access Teams Document」ボタンの背後にあるハイパーリンクは短縮URLを指しています。
https://s7ku6[.]lu/lnk/AVoAAHBNPHAAAc6tFoQAA-YEUe0AAYKJ…
このURLはProofpointでラップされたリンクに�繋がります。
https://urldefense[.]proofpoint[.]com/v2/url?u=http-3A_scra..
そこから、最終的なフィッシングランディングページへの一連のリダイレクトが発生します。
https://scratchpaperjournal[.]com
このケースでは、ラップされたリンクが無効化されており、ペイロードリンクは利用できなくなっていますが、例が似通っており、Microsoftになりすます手口が一貫して使われていることから、Cloudflare Email Securityチームは、ペイロードがMicrosoftフィッシングページに向けられている可能性を強く疑っています。
Intermedia
当社が観測したIntermediaのリンクラッピングの悪用も、リンクラッピングで保護されたメールアカウントへの不正アクセスに焦点を当てていました。以下は、Intermediaによって保護されている組織内のメールアカウントを攻撃者が侵害し、そのアカウントを利用して悪性リンクを含んだフィッシングメールを送信した例です。メールが組織内から送信されたため、Intermediaは自社のインフラストラクチャをメールが通過する際にリンクを自動的に書き換えました。
このメールは『Zix』セキュアメッセージの通知で、「View Secure Document」ボタンでセキュアドキュメントを表示するよう誘導するものです。
侵害されたアカウントから送信された、ラップされたリンクを含むフィッシングメール
「View Secure Document」ボタンのハイパーリンクは、IntermediaでラップされたURLです。
url[.]emailprotection[.]linkというURLはConstant Contactのページにリダイレクトされ、そこに実際のフィッシングページが設置されています。
url[.]emailprotection[.]linkからConstant Contactへリダイレクト
この手法によるもう1つの一般的なキャンペーンは、偽の共有Word文書を使うものです。
偽の共有Word文書へのリンクを含んだフィッシングメール
ここでも、「Go to file」ボタ�ンのハイパーリンクはIntermediaでラップされたURLです。
このリンクは、認証情報を収集するために設計されたMicrosoftフィッシングページへリダイレクトされます。
認証情報を収集するように設計されたMicrosoftフィッシングページ
この手法を使ったもう1つの巧妙な手口は、Microsoft Teamsのなりすましです。
偽のTeamsメッセージへのリンクを含んだフィッシングメール
「Reply in Teams」ボタンのハイパーリンクは、以下のようにラップされたリンクです。
こちらも、リンクのリダイレクト先は、認証情報を取得するために設計されたMicrosoftフィッシングページです。
認証情報を収集するように設計されたMicrosoftフィッシングページ
影響
これらのフィッシングキャンペーンは、urldefense[.]proofpoint[.]comやurl[.]emailprotectionといった正規のURLで悪質な宛先を隠蔽し、信頼できるリンクラッピングサービスを悪用することで、攻撃の成功確率を大幅に高めています。攻撃者は、ユーザーがこれらのセキュリティツールに置く信頼を悪用しており、それによってクリック率が上がり、次のような影響が出る可能性が高まります。
直接的な金銭的損失:不正リンクが正規リンクのように見せかけられているため、ユーザーはクリックする時という重要なタイミングであまり疑念を抱かず、直接的な金銭的損失の可能性が高まります。2024年は、詐欺報告の25%でメールが接触手段として使われました。そのうち11%が金銭的損失をもたらし、被害は総額5億200万ドル、1件あたり平均600ドルでした。
個人アカウント侵害からアイデンテ�ィティ窃盗へ:リンクラッピングは、成功確率の高い個人データ収集高い方法になり得ます。フィッシングキャンペーンは攻撃者が個人情報を取得する主要な手段であり、2024年には110万件の個人情報窃盗報告がありました。最も多いのはクレジットカード詐欺と政府給付金詐欺です。
被害者にとって大きな時間的負担:フィッシングから始まることが多いアイデンティティ窃取の被害者は、大変な時間的負担を負います。2024年度に解決した税関連の事例は、平均22か月(676日)以上かかっています。
フィッシングが代表的な侵入手口:Comcastの調査によると、すべての侵害の67%は、安全に見えるリンクを誰かがクリックすることから始まっています。
フィッシングによる認証情報窃盗: Picus Securityの2024年の観測で認証情報窃盗が300%急増したのは、リンクラッピングなどの有効性の高いフィッシング手法が原因であった可能性があります。
軽減と検出
このキャンペーンは信頼されたセキュリティプロバイダーのドメインを悪用するため、従来の評判に基づくURLフィルタリングは効果がありません。以下の検出コードは、上記のリンクラッピング技術を利用したフィッシングキャンペーンから保護するために、Cloudflare Email Securityが書いたものです。過去のキャンペーンデータに見られるさまざまな兆候を基にし、リンクラッピングしたURLを含むメッセージでトレーニングされた機械学習モデルを組み込んでいます。
SentimentCM.HR.Self_Send.Link_Wrapper.URL
SentimentCM.Voicemail.Subject.URL_Wrapper.Attachment
