-セキュリティ企業Team Cymruの上級アドバイザーであるWill Thomas氏(BushidoUKの名でも知られる研究者)は、Adobe・Netflix・Coca-Cola・OpenAIをはじめとする30以上の有名ブランドを装い、マーケティング職の採用面接を口実にGoogleアカウントの認証情報を狙うフィッシングキャンペーンを分析し、公表しました。当サイトでも以前、北朝鮮のハッカーがLinkedIn上で採用面接を装い開発者を狙った事例や、国内企業の名をかたる偽の求人メールの注意喚起を取り上げましたが、今回の手口は採用担当者になりすます点は共通しながらも、正規のクラウドサービスを複数経由させる巧妙なリダイレクトの連鎖と、偽の認証ポップアップを組み合わせている点に特徴があります。
サマリー
- Team Cymruの上級アドバイザーであるWill Thomas氏は、American AirlinesやBooking.com、Coca-Cola、Adidas、Adobe、OpenAI、Netflix、McKinsey & Companyなど30以上のブランドを装うフィッシングキャンペーンを確認した
- 標的はマーケティング職の求人に関心を持つ人物で、実在する採用担当者の氏名と写真を使うことで信頼性を高めている
- メールは正規のクラウド型人事プラットフォームPeopleForceを悪用して送信され、リンクをクリックするとSalesforce Marketing Cloud(旧ExactTarget)のドメインを経由し、さらに不動産業界向けCRMサービスWise Agentのドメインを経由したうえで、最終的な偽の採用ページへ誘導される
- 偽の採用ページでGoogleアカウントによるログインを促すボタンをクリックすると、実際のブラウザウィンドウではなくHTMLとCSSで作り込まれた偽のポップアップが表示される、ブラウザインザブラウザと呼ばれる手法でGoogleの認証画面を模倣している
- この攻撃キャンペーンは少なくとも5カ月にわたって継続しており、当初はOutlookのメールアドレスに偽装したブランド名を使う手口だったとされる
- 研究者はこれまでに34件以上の関連ドメインを確認しており、攻撃者がどのようにして正規のクラウドサービス上にアカウントを用意できたのかは、本稿執筆時点で明らかになっていない
| 項目 | 内容 |
|---|---|
| 分析者 | Will Thomas氏(Team Cymru上級アドバイザー、BushidoUK) |
| 公表日 | 2026年7月6日(BleepingComputer報道) |
| 標的 | マーケティング職の求人に関心を持つ人物のGoogleアカウント |
| 装われたブランド数 | 30以上(Adobe、Netflix、Coca-Cola、OpenAI、Adidas、Marriott、FIFA等) |
| 悪用された正規サービス | PeopleForce(人事クラウド)、Salesforce Marketing Cloud(exct[.]net)、Wise Agent(不動産CRM) |
| 攻撃手法 | ブラウザインザブラウザ(BitB)によるGoogle認証画面の偽装 |
| 活動期間 | 少なくとも5カ月間 |
| 確認済みドメイン数 | 34件以上 |
何が起きたか
今回のキャンペーンは、マーケティング職の採用に関心を持つ人物を狙い、有名ブランドの採用担当者を装ってメールを送りつけるというものです。Will Thomas氏の分析によれば、装われているブランドは航空・旅行業界のAmerican Airlines・Booking.com・Delta航空・United航空、飲料業界のCoca-Cola・PepsiCo・レッドブル、アパレル・高級品業界のAdidas・Louis Vuitton・Sephora・Levis、人材・コンサルティング・技術業界のAdobe・Aquent・ManpowerGroup・McKinsey & Company・OpenAI、ホスピタリティ・マーケティング業界のMarriott・Omnicom Group、エンターテインメント・スポーツ業界のFIFA・Netflixなど、多岐にわたります。実際の被害例として、Adidasの採用担当者Paulina Manzo氏になりすましたメールが、受信者に対して同社での採用機会について話し合う機会を設けるよう求めていたことが確認されています。
このメールは、正規のクラウド型人事プラットフォームであるPeopleForceを悪用する形で送信されています。受信者がメール内のリンクをクリックすると、Salesforce Marketing Cloud(旧ExactTarget、Salesforceによる買収でこの名称に変わったサービス)が運用するexct[.]netというドメインへ誘導されます。そこからさらに、不動産業界向けの顧客管理サービスであるWise Agent(wiseagent[.]com)を経由したうえで、最終的に攻撃者が用意した偽の採用ページへとたどり着く仕組みになっています。今回の場合、adidas-hiring[.]comという偽のページへ誘導され、面談の日程調整を進めるためとしてGoogleアカウントでのログインを求められます。
複数の正規サービスを経由するリダイレクトの連鎖
この攻撃で特に手が込んでいるのは、被害者が最終的な偽ページへたどり着くまでに、複数の正規サービスのドメインを経由させている点です。PeopleForceからSalesforce Marketing Cloud、そしてWise Agentへと、いずれも実在する正規のクラウドサービスを次々と経由することで、途中の通信経路だけを見てもすぐには不審だと判断しにくい構成になっています。当サイトで以前紹介したSalesforceを標的にしたボイスフィッシングとソーシャルエンジニアリングのキャンペーンでも触れた通り、正規のクラウドサービスが持つ信頼性を隠れ蓑として悪用する手口は、近年のフィッシングキャンペーンで繰り返し見られる傾向です。攻撃者がこれらの正規サービス上にどのようにしてアカウントを用意できたのかは、本稿執筆時点で明らかになっていません。専用にアカウントを新規作成した可能性もあれば、何らかの形で侵害した既存のログイン情報を利用した可能性もあり、いずれにしてもサービス自体が侵害されたわけではないとされています。
ブラウザインザブラウザによる偽のGoogle認証
このキャンペーンのもう一つの技術的な特徴が、偽の採用ページ上でGoogleアカウントによるログインを続けるボタンをクリックした際に表示されるポップアップです。一見すると本物のブラウザが新しいウィンドウを開いてGoogleの認証画面を表示しているように見えますが、実際にはこのポップアップ自体が、偽のページの中にHTMLとCSSで作り込まれた見せかけの要素にすぎません。この手法はブラウザインザブラウザと呼ばれ、現代のWeb開発技術を使えば、正規の認証ポップアップが持つ見た目の要素をほぼそのまま再現できてしまいます。アドレスバーやウィンドウの枠、タイトルバーまで模倣できるため、見た目だけで真偽を判断することが難しくなっています。
情報システム部門への示唆
このキャンペーンは少なくとも5カ月にわたって継続しており、当初はブランド名を含むOutlookのメールアドレスを使う、より単純な手口だったとされています。攻撃者が手口を継続的に洗練させながら活動範囲を広げてきた経緯がうかがえ、研究者は34件以上の関連ドメインをすでに確認しています。マーケティング部門やそれに準ずる職種の従業員が転職活動や副業の話に関心を持ちやすいという性質は、業種を問わず共通するものであり、自組織の従業員に対しても他人事ではありません。
実務的な対策としては、まず採用担当者を名乗る予期しない連絡について、リンク先のドメインが応募先とされる企業の正規ドメインと一致しているかを必ず確認する習慣を周知することが重要です。今回のケースのように、実在する担当者の氏名や写真が使われていても、リンク先のドメインがexct[.]netやwiseagent[.]comのような、応募先企業と無関係な複数のドメインを経由している場合は強い警戒が必要です。あわせて、Googleアカウントへのログインを求めるポップアップが表示された際は、それが独立したブラウザウィンドウとして開いているか(アドレスバーを含む本物のウィンドウの枠があるか)を確認する癖をつけることも有効です。ブラウザインザブラウザは巧妙に作り込まれているため完全に見抜くのは容易ではありませんが、少しでも違和感を覚えた場合は、そのポップアップ内で認証情報を入力せず、公式サイトへ直接アクセスし直す習慣を組織全体に浸透させることをお勧めします。ハードウェアセキュリティキーを用いたフィッシング耐性の高い多要素認証を導入しておけば、たとえ認証情報を入力してしまった場合でも、被害の拡大を防ぐ有効な歯止めになります。








