セキュリティ企業Push Securityは2026年3月26日、企業のマーケティング担当者が利用するTikTok for Businessアカウントを標的とした新たなAITM(Adversary-in-the-Middle)フィッシングキャンペーンを検出・報告しました。
このキャンペーンの最大の特徴は、多要素認証(MFA)を突破できるリバースプロキシ型フィッシングキットの使用と、Google SSOを経由した連鎖的なアカウント乗っ取りにあります。TikTokアカウントと紐づいたGoogleアカウント(Google Ad Manager含む)まで一度に奪取される可能性があり、企業の広告予算が丸ごと悪用されるリスクがあります。
目次
概要
Push Securityのレポートによると、このキャンペーンで使われたフィッシングページ群は2026年3月24日に9秒の間にまとめて登録され、Cloudflareの背後で運用されていました。ドメイン登録にはNicenic International Groupが使われており、Pushはこのレジストラが大量のフィッシング用ドメイン登録で悪用される例があると指摘しています。攻撃ページは welcome.careers 系の命名規則を使い、TikTok for BusinessやGoogle Careersの面談調整ページを装っています。
攻撃フローもかなり作り込まれています。被害者がリンクを踏むと、最初に正規のGoogle Storage URLを経由してから、Cloudflare Turnstileによるボット判定画面が表示されます。その後、TikTok風またはGoogle風のページで基本情報の入力を求められ、最後に認証情報を盗むためのAiTMログイン画面へ誘導されます。Push Securityは、この流れが自動解析やセキュリティ製品による検知を妨げる設計になっていると説明しています。
特に注目すべきなのは、偽のTikTok for Businessログイン画面で Log in with TikTok ではなく Log in with Google を前面に出している点です。Pushは、入力欄に業務用メールアドレスらしい形式を要求するバリデーションも確認しており、個人利用者ではなく、広告運用や事業アカウントの担当者を意識して絞り込みをかけているとみられます。
攻撃フローの詳細:5段階の罠
Push Securityの分析によると、被害者は以下のステップで罠に誘導されます。
悪意あるリンクのクリック
フィッシングメール(またはマルバタイジング)経由で被害者が悪意あるリンクをクリック。初期配信方法の詳細は未確認ですが、2025年10月にSublimeが報告した類似キャンペーン(Google Careers偽装メール)と同様の手法と推定されています。
Google Storageを経由したリダイレクト
クリック後、まず正規のGoogle Storageサイト(storage.googleapis.com)へリダイレクトされます。これにより、URLの見た目が一時的に正規サービスとなり、疑いを持たれにくくなります。
Cloudflare Turnstileによるボット選別
Cloudflare Turnstile(本来はボット対策ツール)が起動し、セキュリティ研究者や自動スキャンツールをブロックします。本来ボット排除のための技術を、フィッシングページの検出回避に悪用しているのが特徴です。人間のユーザーのみが次のステップに進めます。
偽ランディングページで個人情報を収集
被害者には以下2種類のいずれかの偽ページが表示されます。
① TikTok for Business 偽ページ(広告管理ダッシュボードを模倣)
② Google Careers「Schedule a Call」 偽ページ
どちらも基本的な個人情報フォームへの入力を求めます。
AITMフィッシングキットによる認証情報+セッション窃取
フォーム送信後、リバースプロキシ型のAITMフィッシングキットが動作する偽ログインページが表示されます。被害者が入力したID・パスワード・MFAコードがリアルタイムで攻撃者に転送され、同時にセッションクッキーも窃取されます。なお、TikTokのログインページでは「ビジネスメールアドレスのみ」という入力バリデーションが施されており、個人ユーザーを排除して企業担当者だけを精度高く標的にしています。
なぜTikTokビジネスアカウントが狙われるのか
一見すると、企業アカウントを狙うならGoogle WorkspaceやMicrosoft 365の方が自然に見えます。しかしPush Securityは、TikTokアカウントがすでにマルウェア配布や詐欺導線に悪用されてきた土壌があると指摘しています。実際、TikTok上では過去に偽の操作ガイド動画を使って情報窃取型マルウェアを配布する事例や、著名人をかたる暗号資産詐欺の導線が確認されてきました。ビジネスアカウントが奪われれば、広告配信の正当性と到達範囲を一気に悪用できるため、攻撃者にとって非常に効率がよい標的です。
Google SSO連携による被害の連鎖
本キャンペーンで最も深刻なリスクは、Google SSO(シングルサインオン)を経由した被害の連鎖です。Push Securityはこの点を特に強調しています。
【1回のフィッシングで起きうる連鎖的な被害】
- 被害者が「Googleでログイン」を選択してTikTokにログインしようとする
- AITMキットがTikTokアカウントとGoogleアカウントの両方のセッションを窃取
- 攻撃者がGoogleアカウントを通じてGoogle Ad Managerにアクセス
- Google Ad Managerを悪用したマルバタイジングキャンペーンを展開
- Googleアカウントに紐づく他のSaaSアプリ・クラウドサービスにも侵入
- データ窃取・恐喝・さらなる攻撃へと発展
これは「1回のフィッシング → TikTok広告 + Google広告 + 関連SaaS全て」という被害連鎖であり、企業にとって壊滅的なダメージをもたらしえます。Push Securityによると、このパターンはすでに「Scattered Lapsus$ Hunters」によるAITMフィッシング攻撃でも標準的な手口として確認されています。
情報システム部門が取るべき対応
まず必要なのは、TikTokを広報ツールではなく広告基盤として扱うことです。Business Centerは、企業やブランドのビジネスそのものを変更、削除し、メンバーや資産を追加、削除できる権限を持つとTikTok自身が説明しています。つまり、ここが奪われると投稿だけでなく、広告運用体制や委託先との関係まで崩される可能性があります。広告運用部門や外部代理店任せにせず、情シスやセキュリティ部門の統制対象へ入れるべきです。
実務上は、Business Centerの管理者を絞り込み、全メンバーに2段階認証を必須化し、メールドメイン許可リストを使って招待可能なドメインを制限することが第一歩です。あわせて、Googleログインを使っている運用者がいるなら、Google側の保護もTikTokと同じ優先度で見直す必要があります。Push Securityは、Google経由でログインしている利用者ではTikTokとGoogleの両方が一度に危険にさらされると警告しています。
参考








