攻撃者は、セキュリティボットを回避し認証情報を収集するために設計された高度なフィッシングキャンペーンで、**TikTok** for Businessアカウントを積極的に標的にしています。これらのアカウントは、不正広告キャンペーン、広告詐欺、悪意のあるコンテンツの配布に悪用される可能性があるため、非常に価値が高いです。 ブラウザの脅威検出・対応企業である**Push Security**は、このキャンペーンを昨年観測された、**Google** Ad Managerアカウントを標的とした類似の活動と関連付けています。 ### フィッシングの手法 被害者は、サイバー犯罪活動と関連付けられることが多いレジストラであるNiceNICを通じて3月24日に登録された**Cloudflare**ホストのフィッシングページに誘導されます。初期の配信メカニズムは不明ですが、**Push Security**は、**Sublime Security**が報告したなりすましを利用するアプローチと同様の手法を推測しています。 攻撃フローは以下の通りです。 1. 初期リンクは正規の**Google** Storage URLを経由してリダイレクトされます。 2. **Cloudflare** Turnstileチェックがボット分析をブロックするために使用されます。 3. 悪意のあるフィッシングページにリダイレクトされます。 使用されているドメインは類似した名前を共有しており、すべて同じ**Google** Storageバケットでホストされています。例としては以下が挙げられます。 * welcome.careerscrews[.]com * welcome.careerstaffer[.]com * welcome.careersworkflow[.]com * welcome.careerstransform[.]com * welcome.careersupskill[.]com * welcome.careerssuccess[.]com * welcome.careersstaffgrid[.]com * welcome.careersprogress[.]com * welcome.careersgrower[.]com * welcome.careersengage[.]com * welcome.careerscrews[.]com ### 認証情報の収集と2FAバイパス 悪意のあるページは、**TikTok** for Businessおよび**Google** Careersの「電話をスケジュールする」ページを装っています。訪問者は、ビジネスメールアドレスを検証するために基本的な情報の入力を求められます。  *最初の検証ステップで基本情報を収集* *出典: Push Security* この初期ステップの後、被害者は偽のログインページに誘導され、これはリバースプロキシとして機能します。このプロキシは認証情報とセッションCookieをキャプチャし、攻撃者に送信します。重要なのは、この手法により、二要素認証（2FA）が有効になっていても、攻撃者がアカウントを乗っ取ることができる点です。  *TikTokをテーマにした（上）とGoogle（下）のフィッシングページ* *出典: Push Security* ### デュアルアカウントの侵害 **Push Security**は、多くのビジネスアカウント所有者が**Google**シングルサインオン（SSO）を使用して**TikTok**にログインしていることを指摘しています。これは、フィッシング攻撃を通じて**Google**アカウントが侵害されると、関連する**TikTok**アカウントも同時に侵害される可能性があり、攻撃者が両方のプラットフォームを通じて広告を配信できるようになることを意味します。 ### 推奨事項 ユーザーは、 unsolicited な招待や求人オファーには細心の注意を払うべきです。認証情報を入力する前に必ずドメインを確認し、アカウントセキュリティの強化のためにパスキーの使用を検討してください。