- シスコは最近、電子メールでのブランドなりすましを検出するエンジンのアップデートを開発し、リリースしました。この新しいアップデートでは検出範囲を強化し、PDF ペイロード(添付ファイル)を使用して配信されているなりすましブランドを広範に検出できるようにしています。
- PDF ペイロードを使用したメールの脅威の大半は、攻撃者が管理する電話番号に電話をかけるように被害者を誘導します。一般的なソーシャルエンジニアリングの手法の 1 つであり、電話サポート詐欺(TOAD:Telephone-Oriented Attack Delivery)、別名コールバック型フィッシングと呼ばれます。
- Talos では、攻撃者が匿名性を保つために Voice over Internet Protocol(VoIP)を使用する事例を多く確認しています。数日間連続で、同じ電話番号が使用されることもあります。さらに、TOAD メールに PDF を添付して被害者に送信するために Adobe プラットフォームが悪用される事例も確認されています。
- Talos は電話番号を新たな IOC(侵入指標)として、関連する情報を収集、分析する計画です。
- Talos は、PDF ペイロードを用いたブランドなりすまし型メール脅威における、QR コードや PDF 注釈の悪用に関する新たなインサイトを提供しています。
PDF ペイロードを使用したブランドなりすまし
PDF(Portable Document Format)は、情報を電子的に共有する標準的な方法です。他のアプリケーション(例:Microsoft Word)で作成されたファイルは、よく PDF 形式に変換されます。PDF は、ほとんどの OS で広く利用されている Adobe Reader などの PDF 表示アプリケーションで閲覧できます。その優れたポータビリティにより、PDF は文書を大量に配布するのに幅広く利用されています。しかしここ数か月、ブランドなりすましなど、不正な目的にも悪用されています。
ブランドなりすましは、有名ブランドの知名度を悪用して、メール受信者に機密情報を開示させるというソーシャルエンジニアリングの手法です。以前のブログでも説明したとおり、攻撃者はブランドのロゴや名前を複数のペイロードで使用して、被害者にフィッシングメールを送りつけています。その最も一般的な方法の 1 つが、PDF ペイロード(または添付ファイル)です。
ブランドのロゴを含むメール全体が PDF として添付されている事例がいくつか報告されています。図 1 は、Microsoft ブランドになりすました QR コードフィッシングメールの例を示しています。この攻撃者は、さまざまな組織で昇進や評価の見直しが行われることが多い時期を戦略的に見計らって「Paycheck Increment」(昇給のお知らせ)という魅力的な件名を使用していました。
図 1. Microsoft ブランドになりすました QR コードフィッシングメール
他にも、企業のロゴが別の画像ファイルまたは PDF ファイルとして添付され、被害者がメールを開いた瞬間に表示されるという事例もあります。以下の例は、Microsoft と Adobe の両ブランドになりすました QR コードフィッシングメールです。図 2 では、Adobe のロゴが画像ファイルとしてメールに添付されています。
図 2. Microsoft ブランドと Adobe ブランドになりすました QR コードフィッシングメール
ブランドのロゴは、すべてのブランドなりすましメールに含まれているわけではありません。たとえば Adobe ブランドになりすました次のフィッシングメールには、ロゴは一切含まれていません。
図 3. Adobe ブランドになりすましたフィッシングメール
「View the Attached online here」(添付をオンラインで表示するにはここをクリック)というハイパーリンクをクリックすると、Dropbox の Web ページを装ったフィッシングページにリダイレクトされます。
図 4. Dropbox のダウンロードページを装ったフィッシングページ
図 5. Dropbox ブランドになりすました上記メールの最終的なフィッシングページ
電話サポート詐欺(TOAD:Telephone-Oriented Attack Delivery)
PDF ペイロードを使用したメールの脅威の大半は、攻撃者が管理する電話番号に電話をかけるように被害者を誘導します。一般的なソーシャルエンジニアリングの手法の 1 つであり、電話サポート詐欺(TOAD:Telephone-Oriented Attack Delivery)、別名コールバック型フィッシングと呼ばれます。
被害者は、問題解決や取引内容の確認のために PDF に記載された番号に電話をかけるよう指示されます。電話をかけると、正規のサポート担当者になりすました攻撃者が、機密情報を開示させようとしたり、コンピュータに悪意のあるソフトウェアをインストールさせようとしたりします。
図 6. 典型的な TOAD 攻撃の手順の概要
フィッシングでは通常、悪意のあるリンクやファイルが添付されているメールやメッセージを送信し、被害者を偽の Web サイトに誘導します。一方コールバック型フィッシングでは、偽の Web サイトやフィッシングリンクは利用しません。代わりに、直接的な音声コミュニケーションを使用し、被害者の電話に対する信頼や、電話でのコミュニケーションが企業とやり取りするための安全な手段であるという認識を悪用します。さらに通話中の実際のやりとりで、攻撃者はソーシャルエンジニアリングの手法を用いて、被害者の感情や反応を操ることができます。したがって、コールバック型フィッシングは、従来のメールによる脅威というよりも、ソーシャルエンジニアリングの手法と言えます。
このソーシャルエンジニアリングの手法を利用したメール脅威で見つかる電話番号のほとんどは、Voice over Internet Protocol(VoIP)番号です。VoIP 番号は、特定の個人や物理的な場所を追跡することが、従来の電話番号と比べて非常に困難だからです。以下は、McAfee ブランドになりすました TOAD 攻撃の例です。
図 6. McAfee ブランドになりすました TOAD 攻撃の例
Talos は、数日間連続で、同じ電話番号が使用される事例を確認しています。これにはいくつかの理由が考えられます。まず、電話番号に関するインテリジェンスは URL やファイルなどの他のアーティファクトに比べ、収集と情報共有のペースが遅いことが挙げられます。ほとんどの場合、サイバーセキュリティ企業がメールで確認した電話番号は、サードパーティのレピュテーションサービスと共有されておらず、またその逆も同様です。その結果、これらの電話番号は、数日間検出されないままであることがよくあります。次に、同じ電話番号を使うことは、詐欺コールセンターにとって運用上のメリットがあります。多段階のソーシャルエンジニアリング攻撃において同じ連絡先を使用でき、コールバックのスケジュール調整がしやすく、被害者にとって信頼できる「ブランド」という印象を維持できるのです。最後の理由として、特に VoIP サービスが無料でない場合は、コストを最小限に抑えるために電話番号を使い回すことがあります。以下の図は、Best Buy の Geek Squad ブランドになりすました TOAD メールで、+1-818-675-1874 という番号が 4 日間連続で使用された状況を示したものです。
図 7. 数日間連続で、TOAD メールに同じ電話番号(+1-818-675-1874)が使用された例
また、Talos は 2025 年 4 月から 5 月にかけて、Adobe プラットフォーム上で電子署名サービスが悪用された事例をいくつか確認しています。図 8 は、PayPal ブランドになりすましたメールの例を示しています。この事例では、PDF ファイル全体(メール本文)が Adobe にアップロードされ、電子署名サービスを使用して被害者に直接送信されていました。
図 8. PayPal ブランドになりすました TOAD 攻撃の例
図 9. TOAD 攻撃で Adobe の電子署名サービスを悪用
PDF ペイロードで QR コードを悪用
攻撃者は、ブランドになりすましたフィッシングメールに QR コードを使用する「QR コードフィッシング」という手法を広く活用しています。図 10 ~ 12 に示すように、攻撃者は有名ブランドの正当性を悪用してユーザーに QR コードをスキャンさせ、最終的にフィッシングページに誘導します。こうしたフィッシングページは多くの場合、CAPTCHA などの形式で保護されています。
図 10:Docusign ブランドになりすました QR コードフィッシングメール
図 11. 最終的なフィッシングページを保護する CAPTCHA
図 12. 最終的なフィッシングページ
PDF ペイロードを用いる QR コードフィッシングメールのほとんどは、メール本文全体が添付ファイルに埋め込まれており、被害者がメールを開封したらすぐに表示されます。この手法は、テキストの特徴やキーワードに依存するメールフィルタや検出エンジンを容易に回避します。光学文字認識(OCR)分析を行えば検出しやすくなりますが、OCR はエラーが発生しやすいプロセスであり、計算コストも増加します。
PDF ペイロードで注釈を悪用
PDF 形式はオープンスタンダードですが、その構造を理解することは簡単ではありません(詳細はこちらの書籍
を参照)。PDF は、テキストレイヤー、画像レイヤー、内部構造(コメントや注釈)という 3 つの主要な要素に、目に見える情報と非表示の情報を含めることができます。この柔軟性により、PDF 内の特定の要素を正当なものに見せかけ、スパムフィルターや検出システムを回避できます。
QR コードフィッシングメールをより検出困難にするために、本来は正当な目的で使用される PDF の注釈を攻撃者がよく悪用します。たとえばフィッシング URL が、添付の PDF のテキスト注釈、付箋、コメント、フォーム入力欄に埋め込まれていることがあります。あるいは、検出システムを回避するために、関連のないテキスト(「ノイズ」)が追加されているケースもあります。
図 13 と図 14 では、注釈を利用して複数の URL を PDF 添付ファイルに埋め込んでいる例を示しています。このようなケースでは、受信者の信頼を得るために、QR コードは正当な Web ページにリンクし、実際のフィッシングページの URL は注釈として埋め込まれている場合があります。攻撃をさらに見抜きにくくするために、攻撃者が短縮 URL を使用するケースもあり、リンクをクリックする前に本物の URL かどうかをユーザーが確認することはより困難になっています。
図 13. Microsoft ブランドになりすました QR コードフィッシングメール
図 14. QR コード付きの PDF 添付ファイルの例:注釈に 2 つの URL が含まれている
PDF ペイロードを使用したブランドなりすましの傾向
ブランドなりすましは、フィッシング攻撃でのソーシャルエンジニアリング手法として広く利用されており、Talos もここ数か月、PDF ペイロードを用いた攻撃でブランド名やロゴが使用されているのを頻繁に確認しています。
Cisco Secure Email Threat Defense のブランドなりすまし検出エンジンを使用し、このような攻撃がいかに広がっているかを明らかにしました。図 15 のグラフは、2025 年 5 月 5 日から 6 月 5 日までの期間に検出された PDF 添付メールでのブランドなりすましの状況を示したものです。PDF を添付したフィッシングメールでは、Microsoft と Docusign のブランドなりすましが最も頻繁に確認されました。同様に、PDF を添付した TOAD メールでは、NortonLifeLock、PayPal、Geek Squad のブランドなりすましが最も多く確認されました。
図 15. PDF 添付メールで、なりすましが最も多く確認されたブランド
図 16 の地図は、この期間に上記ブランドについて、PDF 添付ファイルを使用したブランドなりすまし攻撃が発生した国内外の場所を示したものです。
図 16:PDF 添付ファイルを使用したブランドなりすまし攻撃の送信元 IP アドレス
ブランドなりすましへの対策
ブランドなりすましは最も一般的なソーシャルエンジニアリング手法の 1 つであり、さまざまな種類のメール脅威で攻撃者によって継続的に使用されています。そのため、ブランドなりすまし検出エンジンは、サイバー攻撃を防御するのに重要な役割を果たします。
Cisco Talos は、この種の脅威を検出してお客様を保護するために、ルールベースのエンジンから高度な機械学習ベースのシステムに至るまで、幅広いシステムを活用しています。Cisco Secure Email Threat Defense のブランドなりすまし検出エンジンに関する詳細については、こちらをご覧ください。
本稿は 2025 年 7 月 2 日にTalos Group
Authors