はじめに: Vercelを悪用した巧妙なフィッシング手口

2025年11月頃から、Vercelホスティングプラットフォームを悪用した新たなフィッシングキャンペーンが活発化しています。この攻撃は、正当なサービスであるVercelのドメイン（*.vercel.app）が持つ「継承された信頼」を利用することで、従来のメールフィルターをすり抜け、標的にリモートアクセス型マルウェアを送り込んでいます。

このキャンペーンは、初期の単純なファイル配信から、現在はより洗練された「条件付き」感染チェーンへと進化しており、巧妙な手口で検出を回避しようとしています。

攻撃の詳細: 段階的な感染チェーンと標的の選別

攻撃者は、未払い請求書、支払い明細書、文書レビューなど、金銭的またはビジネス関連の緊急性を煽る短いフィッシングメールを送信します。これらのメールには、Vercelでホストされた悪意のあるリンクが埋め込まれています。被害者がこのリンクをクリックしても、すぐにマルウェアが配信されるわけではありません。

まず、リンク先のページは被害者のブラウザをフィンガープリントし、IPアドレス、位置情報、デバイスタイプ、ブラウザの詳細などの情報を収集します。この情報は、攻撃者が管理するTelegramチャンネルに送信されます。攻撃者はこのデータを利用して、サンドボックス環境、セキュリティ研究者、または対象外の地域からのアクセスをフィルタリングし、特定の「有効な」標的のみにペイロードを配信するかどうかを決定します。

「有効な」標的と判断された場合、偽のPDFビューア、金融ポータル、または文書署名サービスのようなページが表示され、「Statements05122025.exe」や「Invoice06092025.exe.bin」といった実行ファイル名で、リモートアクセスツールをダウンロードするように促されます。ここでダウンロードされるのは、正規のリモートアクセス・サポートツールであるGoTo Resolve（旧LogMeIn）のインストーラーです。攻撃者は、明らかなマルウェアではなく正規のソフトウェアを悪用する「Living off the Land（環境寄生型）」手法を採用することで、多くのシグネチャベースのアンチウイルスエンジンを回避しています。GoTo Resolveが実行されると、攻撃者は被害者のシステムを完全にリモートコントロールできるようになります。

検出と防御策

この種の攻撃から身を守るためには、複数の防御層が必要です。セキュリティ専門家は、以下の対策を推奨しています。

• タイムオブクリックURL分析を強化し、メール内のリンクの安全性を検証する。
• サービス悪用およびブランド偽装の検出能力を向上させる。
• vercel.appや類似のサブドメイン（例: surge.sh）に対する厳格な監視を継続する。
• リモートサポートツールのインストールを制限するアプリケーション制御ポリシーを導入する。
• ユーザーに対して、南京錠アイコンや既知のドメインであっても、それが必ずしも安全を保証するものではないというセキュリティトレーニングを徹底する。

Cloudflare Email Securityは既にこの活動を検出する複数のルールをリリースしており、この脅威が広範囲に及んでいることを示唆しています。

確認された侵害インジケーター (IOCs)

以下は、この攻撃キャンペーンで使用された、または関連するドメインの一部です。

• duepaymentinvoiceattached[.]vercel[.]app
• paymentrequestoninvoicedueattached[.]vercel[.]app
• invoice-110493[.]vercel[.]app
• olierinvoiceunpaidmmpaid[.]vercel[.]app
• paidrepotstatementinvoice[.]vercel[.]app
• unpaidbillrequestedservicedetails[.]vercel[.]app
• requestpaymentdueattachedts[.]vercel[.]app
• outstandingstatementdetailsattachedrb[.]vercel[.]app
• salesrepacctstatementdetails[.]vercel[.]app
• remityourpendingpaymentdts[.]vercel[.]app
• unpaidinvoiceremitaath[.]vercel[.]app
• waybill-deliveryticket[.]vercel[.]app
• invstatement2025[.]vercel[.]app
• invstatement[.]vercel[.]app
• windowscorps[.]vercel[.]app
• invoices-attachedpdf[.]vercel[.]app
• dhl-delivery-report[.]vercel[.]app
• dhl-shipment-detail[.]vercel[.]app
• express-delivery-note[.]vercel[.]app
• docsignstatements[.]vercel[.]app
• shipment-docspdf[.]surge[.]sh
• mail[.]blta[.]ro
• findhome[.]cl

---

元記事: https://gbhackers.com/phishing-attack-3/