ハッカーが安全なリンクとURLリライトを活用して検出を回避
ハッカーは既にフィッシングキャンペーンでURLリライトメカニズムを悪用し、悪意のあるドメインを隠すために使用しています。
URLリライトは、ユーザーを保護するために設計されており、セキュリティベンダーのURLに置き換えることで、クリック時に目的地をスキャンします。これらのリライトされたリンクは、プロバイダーのインフラストラクチャを通じてトラフィックをルーティングし、既知の悪意のあるサイトをブロックし、管理者のアクティビティを記録します。
通常の運用では、これは悪意のある目的地をフィルタリングする防御的なレイヤーとして機能します。しかし、脅威アクターはこのモデルを逆手に取っています。既にURLリライトを使用している侵害されたメールボックスから操作することで、「事前にラップされた」安全なリンクを生成し、その信頼ドメインのURLを外部のフィッシングキャンペーンで再利用します。
マルチレイヤーURLリライトの増加
2024年後半から2025年まで、LevelBlue SpiderLabsは、マルチレイヤーURLリライトチェーンの急激な増加を観察しました。現代のキャンペーンでは、単一のリダイレクトホップではなく、複数のプロバイダーを連続してチェーン化する(例:Cisco → Trend Micro → Barracuda → EdgePilot)ことが一般的になりました。
この層状設計は、静的なURL分析、URLレピュテーションチェック、およびサンドボックスの展開を大幅に複雑化します。2024年中盤までに2つ以上のリライトサービスを使用するキャンペーンは稀でしたが、2025年には徐々に増加し、第4四半期には急激な増加が見られました。
Tycoon2FA: 5層のリダイレクトでクッキーを盗む
Microsoftのテーマを持つ文書要求の罠を使用して、Tycoon2FAは、攻撃者が中間者(AiTM)フィッシングキットを使用して、被害者の資格情報をリアルタイムでキャプチャし、マルチファクタ認証にもかかわらず完全なアカウントを乗っ取る機能を提供します。
2025年を通じて、マルチレイヤーURLリライトの悪用が広がり、第4四半期には急増しました。
Sneaky2FA: HTML添付ファイル
別のキャンペーンは、Sneaky2FA PhaaSフレームワークを使用して、法律事務所を標的とした偽の文書署名通知を送りました。
このキャンペーンでは、攻撃者はHTMLファイルにマルチレイヤーのリライトシーケンスを埋め込み、被害者のブラウザがBarracuda、Sophos、CiscoのURLリライトサービスを通じてリダイレクトされ、最終的に悪意のあるMicrosoft 365ログインページにリダイレクトされます。
組織への対策
組織は、異常な302チェーン、過度のリライト層、メールコンテンツと最終目的地の不一致などの行動検出を優先し、メール、ウェブプロキシ、およびアイデンティティプラットフォーム全体に層状の制御を統合し、可能な限りのフィッシング抵抗型MFAを採用する必要があります。
ユーザー教育も依然として重要です。リンクが「安全」に見える場合でも、予期しない文書やログインプロンプトを確認し、最初の認識ブランドを超えてURLを確認し、信頼できるセキュリティや生産性サービスからも発信されたと思われる怪しいメールを報告するように訓練する必要があります。