米セキュリティ企業のMalwarebytes社は2025年8月7日、Facebookユーザーを標的とした新しいフィッシング攻撃について報告した。
このフィッシングメールは「We’ve Received a request to Reset your password for Facebook Account !」という件名で、iPhone 14 PRO Maxからのログインを装う。
従来のフィッシングサイトへのリンクではなく、mailto:リンクを使用し、「ユーザーを報告する」「はい、私です」「配信停止」などのボタンすべてがデフォルトメールプログラムを起動する仕組みとなっている。
送信先にはvacasa、syntechnologies、pdf-tools、salomon等の正当企業を模倣したタイポスクワットドメインや、uk.com、com.de、us.comなどの民間運営セカンドレベルドメイン拡張子7つが使用されている。同社は数週間前にInstagramユーザーを狙った同様手法について警告していたが、攻撃者がFacebookユーザーに標的を拡大したとしている。
From:
Facebook users targeted in ‘login’ phish
【編集部解説】
この新手のフィッシング攻撃は、従来のセキュリティ常識を覆す画期的な手法として注目すべきケースです。
これまでのフィッシング攻撃では、偽のウェブサイトへ誘導するリンクが主流でしたが、今回の攻撃は「mailto:」リンクを悪用することで、ユーザーの端末上のメールアプリケーションを操作します。この手法の巧妙さは、ブラウザベースのフィルタリングシステムを完全に回避できる点にあります。
セカンドレベルドメイン拡張子の悪用は特に重要な論点です。uk.com、com.de、us.comといったドメインは、一見すると公的な国別ドメインのように見えますが、実際は民間企業が運営する商業サービスです。これらのドメインは登録要件が緩く、攻撃者が正当性を演出するための格好のツールとなっています。
この攻撃手法がもたらす影響の範囲は広範囲に及びます。従来のウェブフィルタリング技術では検知が困難なため、企業のセキュリティ部門は新たな対策の構築を迫られることになるでしょう。
特に懸念されるのは、メールクライアントの設定次第では、ユーザーが意図しない情報を自動的に送信してしまう可能性があることです。これにより、アクティブなメールアドレスの情報が攻撃者に渡り、さらなるターゲット化が進む恐れがあります。
一方で、この攻撃手法の発見と共有により、セキュリティベンダーは新たな検知技術の開発に着手しています。Malwarebytes社のようなセキュリティ企業による迅速な情報公開は、ユーザーの意識向上と業界全体の対策強化につながる重要な取り組みといえます。
今後、この手法が他のSNSプラットフォームにも展開される可能性が高く、Instagram攻撃からFacebook攻撃への発展がその前例を示しています。セキュリティ業界では、mailto:リンクを含むメールの自動検証システムの開発が急務となっており、これが次世代のメールセキュリティ技術革新のきっかけとなる可能性があります。
【用語解説】
フィッシング
インターネット詐欺の一種で、偽のメールやWebサイトを使ってユーザーのパスワードやクレジットカード情報などの機密情報を騙し取る手法である。
mailto:リンク
メールアドレスを指定してユーザーのデフォルトメールクライアントを起動させるHTMLリンクの形式で、通常「mailto:[email protected]」のように記述される。
タイポスクワット(typosquatting)
正規のドメイン名を意図的に誤記した偽ドメインを登録し、ユーザーのタイプミスを狙って悪意のあるサイトに誘導する手法である。
セカンドレベルドメイン拡張子
uk.com、com.de、us.comなどの形式で、公式な国別トップレベルドメインではなく民間企業が運営する登録サービスである。
【参考リンク】
Malwarebytes(外部)
米国のサイバーセキュリティ企業で、マルウェア対策ソフトウェアやプライバシー保護、詐欺対策サービスを提供している。
Malwarebytes Scam Guard(外部)
AIを活用したリアルタイム詐欺検出・保護サービスで、iOS・Android向けアプリの一部として提供される。
Malwarebytes Identity Theft Protection(外部)
リアルタイムモニタリング、信用保護、ID回復サポート、最高200万ドルのID盗難保険を提供する。
Facebook(Meta)(外部)
世界最大規模のソーシャルネットワーキングサービスを運営、現在はMeta Platforms, Inc.として展開。
Vacasa(外部)
北米を中心にバケーションレンタル事業を展開する企業で、今回のフィッシング攻撃でタイポスクワット対象となった。
Salomon(外部)
フランス発祥のアウトドアスポーツ用品メーカーで、ランニングシューズやスキー用品を製造・販売している。
【参考記事】
Malwarebytes Scam Guard spots and avoids potential scams(外部)
MalwarebytesのScam Guardサービスの詳細とAI駆動デジタル安全コンパニオンとしての機能を解説。
Facebook Impersonated in Credential Phishing Scam(外部)
Facebookを偽装したクレデンシャルフィッシング攻撃の別事例として参考になる分析を提供している。
【編集部後記】
今回ご紹介したフィッシング攻撃は、私たち自身も日常的に使っているFacebookやInstagramが標的になっているため、決して他人事ではありませんね。特にmailto:リンクという新しい手法は、従来のセキュリティ対策では見抜きにくい巧妙さがあります。
皆さんは普段、SNSからの通知メールをどのように処理されていますか?また、怪しいメールを受け取った経験があれば、どのような点で「おかしい」と気づかれたでしょうか?
セキュリティ技術の進歩と攻撃手法の進化は常にいたちごっこの関係にありますが、私たち一人ひとりの意識向上も重要な防御線だと感じています。
ぜひSNSで皆さんの体験や対策方法を共有していただけると嬉しいです。
サイバーセキュリティニュースをinnovaTopiaでもっと読む
