### フィッシング配信のためのAppSheetの悪用 Guardioの研究者たちは、攻撃者がGoogle AppSheetプラットフォームを悪用してフィッシングメールを配信し、従来のスパムフィルターを効果的に回避している新しいスキームを特定しました。これらのメールはMeta Supportを装い、Facebookビジネスアカウントの所有者に対し、アカウントの永久削除の脅威の下で異議申し立てを行うよう促しています。 Guardioのセキュリティ研究者であるShaked Chen氏は、「私たちが発見したのは単一のフィッシングキットではありませんでした…それは、リアルタイムのオペレーターパネル、高度な回避策、継続的な進化、そして自身が盗むのを助けたアカウントを静かに消費する犯罪・商業ループを持つ、生きたオペレーションでした。」と述べています。 ### 戦術と技術 フィッシングメールは正規のGoogle AppSheetアドレス（`[email protected]`）から送信され、信憑性を与えています。被害者は、認証情報を窃取するために設計された偽のウェブページに誘導されます。このキャンペーンは、2025年5月にKnowBe4によって報告された以前の攻撃と類似性があります。  ここ数週間、攻撃者は「Meta関連のパニック」を引き起こすために、以下のような様々な誘い文句を多様化させています。 * アカウント無効化の脅威 * 著作権侵害の苦情 * 確認レビューのリクエスト * 幹部採用詐欺 * Facebookログインアラート Guardioは、4つの主要な攻撃ベクトルクラスターを特定しました。 * アカウント乗っ取りに使用されるNetlifyホストのFacebookヘルプセンターページ。個人情報（生年月日、電話番号、政府発行のID）を収集し、攻撃者が管理するTelegramチャンネルに転送します。 * ブルーバッジ評価の誘い文句は、被害者をVercelホストの「セキュリティチェック」または「Meta | プライバシーセンター」ページにリダイレクトします。これらのページはCAPTCHAによって保護されており、最終的には連絡先情報、ビジネス情報、認証情報、および2FAコードを窃取してTelegramチャンネルに送信するフィッシングページにつながります。 * アカウント確認手順を装ったGoogle DriveホストのPDF。html2canvasを使用してパスワード、2FAコード、政府発行IDの写真、ブラウザのスクリーンショットを収集するように設計されています。これらのPDFは、無料のCanvaアカウントを使用して生成されます。 * WhatsApp、Meta、Adobe、Pinterest、Apple、Coca-Colaなどの正規企業を装った偽の求人オファー。信頼を確立し、攻撃者が管理するプラットフォームでのさらなるコミュニケーションを求めます。 ### スケールと影響 これらの攻撃に関連するTelegramチャンネルには、主に米国、イタリア、カナダ、フィリピン、インド、スペイン、オーストラリア、英国、ブラジル、メキシコからの約30,000件の被害者記録が含まれています。これらの被害者の多くは、Facebookアカウントへのアクセスをブロックされています。 ### 帰属 オープンソースインテリジェンス（OSINT）は、3番目の攻撃クラスターで使用されたPDFの作成者として、「PHẠM TÀI TÂN」というベトナムの個人を指しており、無料のCanvaアカウントを利用しています。さらなる調査により、デジタルマーケティングサービスを提供するウェブサイト（phamtaitan[.]vn）が明らかになりました。  ### 示唆 Chen氏は、「これらを総合すると、大規模でベトナムを拠点とする巨大なオペレーションの一貫した姿が浮かび上がります。このキャンペーンは、単一のAppSheetの悪用を超えています。これは、アクセス権、ビジネスアイデンティティ、広告評判、さらにはアカウント回復までがすべて取引可能な商品となった、盗まれたFacebook資産を取り巻くダークマーケットへの窓です。私たちが常に指摘しているパターンに、もう一つのエントリがあります。信頼されているプラットフォームが、配信、ホスティング、および収益化レイヤーとして再利用されているのです。」と結論付けています。