**Cisco Talos**の研究者であるSean Gallagher氏とOmid Mirzaei氏は、最近の分析で、攻撃者がn8nをフィッシングキャンペーンの促進や悪意のあるペイロードの配信に悪用していることを明らかにしました。このプラットフォームは、タスクの自動化や様々なWebアプリケーション、API、AIモデルサービスとの連携能力を持っており、これが持続的なリモートアクセスを得るために悪用されています。 ### n8n: 両刃の剣 n8nは、ユーザーがWebアプリケーションやAPIを接続し、データを同期させ、繰り返しタスクを自動化できるように設計されたワークフロー自動化プラットフォームです。ユーザーは開発者アカウントを作成することで、管理されたクラウドホストサービスを利用できます。このサービスは、`<account name>.app.n8n.cloud`という形式のカスタムドメインを作成し、ユーザーが自分のアプリケーションにアクセスできるようにします。 ### Webhook: 攻撃者のエントリーポイント このプラットフォームは、特定のイベントがトリガーされたときにアプリやサービスからデータを受信するためのWebhookの作成をサポートしています。これらのWebhookは`*.app.n8n[.]cloud`サブドメインを使用しており、**Cisco Talos**によると、少なくとも2025年10月以降、フィッシング攻撃で悪用されています。 Webhookは「リバースAPI」とも呼ばれ、アプリケーション間のリアルタイムな情報共有を可能にします。これらのURLは、プログラムで取得したHTMLコンテンツを含むデータを受信するための「リスナー」としてアプリケーションを登録します。  Webhook URLがリクエストを受信すると、後続のワークフロー手順がトリガーされ、結果がHTTPデータストリームとして返されます。URLが電子メール経由でアクセスされた場合、受信者のブラウザは出力をWebページとして処理し、信頼されたドメインから発信されているように見える攻撃ベクトルを作成します。 ### 実世界での悪用 攻撃者は、マルウェア配信とデバイスフィンガープリントのためにn8nのWebhook URLを積極的に使用しています。これらのURLを含む電子メールの量は大幅に増加しており、2026年3月は2025年1月の686%増を示しました。 観測されたキャンペーンの1つでは、攻撃者は共有ドキュメントを装った電子メールにn8nホストのWebhookリンクを埋め込みます。リンクをクリックすると、ユーザーはCAPTCHA保護されたWebページにリダイレクトされます。完了すると、悪意のあるペイロードが外部ホストからダウンロードされます。このプロセス全体がHTMLドキュメントのJavaScript内にカプセル化されているため、ダウンロードはn8nドメインから行われているように見えます。 ### マルウェア配信とデバイスフィンガープリンティング これらの攻撃の最終的な目標は、**Datto**や**ITarian Endpoint Management**のような正規のリモート監視および管理（RMM）ツールの改変版への接続口として機能する実行可能ファイルまたはMSIインストーラーを配信することです。これらのツールは、コマンドアンドコントロール（C2）サーバーに接続することで永続性を確立するために使用されます。 別の一般的な戦術は、デバイスのフィンガープリントのためにn8nを使用することです。攻撃者は、電子メールに、n8nのWebhook URLでホストされた不可視の画像またはトラッキングピクセルを埋め込みます。電子メールが開かれると、HTTP GETリクエストがn8n URLに送信され、被害者の電子メールアドレスなどのトラッキングパラメータも含まれるため、攻撃者は受信者を特定できます。 ### 警戒を呼びかけ 「開発者の手作業による労力を節約するために設計された同じワークフローが、その柔軟性、統合の容易さ、シームレスな自動化により、マルウェア配信やデバイスのフィンガープリントの自動化のために再利用されています」と**Talos**の研究者は述べています。ローコード自動化が成長を続ける中、セキュリティチームはこれらのプラットフォームが資産であり続けることを保証する必要があります。