CSS悪用でスパムフィルター回避：Cisco Talosが警告する新たなメール追跡の脅威

2025年3月18日9:29

サイバーセキュリティニュース

CSS悪用でスパムフィルター回避：Cisco Talosが警告する新たなメール追跡の脅威 - innovaTopia - （イノベトピア）

Last Updated on 2025-03-18 11:14 by admin

サイバーセキュリティ企業Cisco Talosは2025年3月13日に発表した報告書で、サイバー犯罪者がカスケーディングスタイルシート（CSS）を悪用してスパムフィルターを回避し、メールユーザーの行動を追跡していることを明らかにした。

Talosの研究者Omid Mirzaei氏によると、攻撃者はCSSのtext-indentやopacityなどのプロパティを使用して、メール本文に表示される無関係なコンテンツを隠蔽している。

この手法は「隠しテキストソルティング」と呼ばれ、HTMLとCSSの正当な機能を利用して、メールクライアントでレンダリングされた際には被害者には見えないコメントや無関係なコンテンツを含めることで、パーサーや検出エンジンを混乱させるものである。Cisco Talosによれば、2024年後半からこの種の攻撃が急増していた。

さらに、攻撃者は@media CSSアットルールなどのCSSプロパティを埋め込むことで、スパムメールを通じてユーザーの行動を監視し、フォントや配色の好み、クライアント言語の特定、メールの閲覧や印刷などの行動を追跡している。これにより、画面サイズ、解像度、色深度など、ユーザー環境の特定の属性を検出することが可能になっている。

このような脅威によるリスクを軽減するために、Cisco Talosは隠しテキストソルティングやコンテンツ隠蔽を検出する高度なフィルタリングメカニズムの実装や、メールプライバシープロキシの使用を推奨している。

from:Cybercriminals Exploit CSS to Evade Spam Filters and Track Email Users’ Actions

【編集部解説】

CSSは本来、ウェブページやメールのデザインを美しく整えるための技術ですが、サイバー犯罪者たちはその機能を悪用して新たな攻撃手法を確立しています。今回Cisco Talosが明らかにした「隠しテキストソルティング」と呼ばれる手法は、2024年後半から急増していることが確認されており、2025年に入ってからもその傾向が続いています。

この攻撃手法の巧妙さは、人間の目には見えない要素を利用している点にあります。例えば、text-indentプロパティを-9999pxのような極端な値に設定することで、テキストを画面外に追いやったり、opacityプロパティを0に設定して完全に透明にしたりすることができます。これにより、スパムフィルターやセキュリティシステムは混乱させられるのです。

フィッシングメールでは、こうした技術を使って検出システムを回避する事例が増えています。特に金融機関やセキュリティサービスを装ったメールは要注意です。攻撃者はブランド名の間に目に見えない文字を挿入することで、ブランド名検出システムを回避する手法も使用しています。

さらに興味深いのは、CSSを使ったユーザー追跡の手法です。JavaScriptが制限されているメールクライアントでも、CSSのmediaアットルールを使えば、ユーザーの画面サイズ、解像度、色深度などの情報を収集できます。また、特定のフォントの有無を確認することで、使用しているOSを特定することも可能です。例えば、「Segoe UI」フォントはWindowsに、「Helvetica Neue」はmacOSに一般的に存在するため、これらを検出することでOSを判別できるのです。

この技術の影響範囲は非常に広く、企業のセキュリティ体制に大きな課題を投げかけています。従来のスパムフィルターやセキュリティゲートウェイでは検出が難しいため、多くの組織が知らないうちに被害を受けている可能性があります。

一方で、マーケティングキャンペーンでもこうした技術が使われることがあり、必ずしも悪意のある目的だけではないことも理解しておく必要があるでしょう。ユーザーエンゲージメントを追跡し、将来のキャンペーンを最適化するために活用されることもあります。

対策としては、HTMLメールの構造を詳細にスキャンする高度なフィルタリング技術の導入が推奨されています。単なるコンテンツだけでなく、「visibility: hidden」などのCSSプロパティの極端な使用を検出できるメールセキュリティソリューションが効果的です。また、AI駆動の防御システムの導入も有効な対策となるでしょう。

個人ユーザーにとっては、メールプライバシープロキシの使用も選択肢の一つです。これらのプロキシはCSSルールをスタイル属性に変換し、リモートリソースを書き換えることで追跡を防止します。

テクノロジーの進化とともに攻撃手法も洗練されていく中で、このようなCSSの悪用手法は今後も進化していくことが予想されます。セキュリティ意識を高め、最新の防御技術を取り入れることが、デジタル時代を安全に生き抜くための鍵となるでしょう。

【用語解説】

CSS（Cascading Style Sheets）:
ウェブページのデザインやレイアウトを指定するための言語。HTMLが文書の構造を定義するのに対し、CSSはその見た目を決定する。「カスケーディング」とは、複数のスタイル定義が重なり合う場合の優先順位の仕組みを表している。

隠しテキストソルティング:
スパムフィルターを回避するために、メール内に人間には見えないが機械には読み取れるテキストを埋め込む手法。「ソルティング」とは、本来のメッセージに無関係な文字列を「塩（salt）」のように混ぜることを意味する。

フィンガープリンティング:
ユーザーやデバイスを識別するために、ブラウザやシステムの特徴を収集する技術。例えるなら、人間の指紋のようにデジタル機器ごとの固有の特徴を集めて識別する方法である。

text-indent:
CSSのプロパティの一つで、テキストの最初の行のインデント（字下げ）を指定するもの。攻撃者はこれを極端な値（例：-9999px）に設定して、テキストを画面外に追いやることができる。

opacity:
透明度を指定するCSSプロパティ。値が0の場合は完全に透明になり、1の場合は完全に不透明になる。攻撃者はこれを0に設定して、テキストを見えなくすることができる。

@mediaアットルール:
異なるメディア種類やデバイス特性に応じてスタイルを適用するためのCSSルール。例えば、画面サイズや解像度に応じて異なるスタイルを適用できる。

【参考リンク】

Cisco Talos（外部）
シスコシステムズが運営する世界最大級の脅威インテリジェンスチーム

Vade Secure（外部）
AIを活用したフィッシング対策ソリューションを提供するメールセキュリティ企業

【編集部後記】

普段何気なく受信するHTMLメールの中に、こうした高度な追跡技術が潜んでいるかもしれません。皆さんは普段、メールの表示形式をHTMLとプレーンテキストのどちらに設定していますか？また、重要なメールをプレーンテキストで表示するなど、セキュリティ対策を意識したことはありますか？メールクライアントの設定を見直す良い機会かもしれませんね。最近のサイバーセキュリティ対策で気になることがあれば、ぜひSNSでシェアしてください。