Outlook Users Targeted by New HTML-Based Phishing Scheme
2025/06/05 gbhackers — Microsoft Outlook の HTML メール処理方法を悪用する、最近のフィッシング攻撃で明らかになったのは、悪意のあるリンクを企業ユーザーの目から隠す、高度な手法の存在である。この攻撃が始まったころは、チェコの銀行を装う標準的なフィッシング攻撃のように見えたが、条件付き HTML コメントを利用して、メッセージを開いたメール・クライアントに応じて異なるコンテンツを表示するものだと判明した。この手法を用いる攻撃者は、Outlook ユーザーに正規の銀行の URL を表示し、それ以外のユーザーを認証情報収集サイトへとリダイレクトしているという。
条件付き HTML コメントの仕組み
SANS のレポートによると、この回避手法のコアは、Microsoft 独自の条件付きコメントである “MSO 条件タグ” にある。これらのタグを用いる悪意の開発者は、Outlook だけを認識する特別なコメントで、HTML コードを囲むことで、特定のバージョンの Outlook を標的にできる。
構文は以下のとおりである:
xml<!--[if mso]>
<a href="https://benign-bank.com">Update Your Info</a>
<![endif]-->
<!--[if !mso]><!-->
<a href="https://malicious-phish.com">Update Your Info</a>
<!--<![endif]-->
<!–[if mso]> … <![endif]–>:このブロック内のコンテンツは Outlook だけでレンダリングされる。
<!–[if !mso]> … <!–:このブロック内のコンテンツは、Outlook 以外のクライアントでレンダリングされるま。
これらの条件文を使用する、攻撃者によるフィッシング攻撃の効果は、企業環境で Outlook を使用することが多いセキュリティ・チームが、安全で正当なリンクのみを参照するように仕向けるところにある。
しかし、他のメール・クライアントである Gmail や Thunderbird などを使用する受信者には、悪意のリンクが表示されるため、認証情報の盗難が成功する可能性が高まる。
それぞれのメール・クライアントにおける、フィッシング・メールの表示方法は以下となる。
| Email Client | Displayed Link | Rendered Code Block |
|---|---|---|
| Outlook (Desktop) | https://benign-bank.com | <!--[if mso]> |
| Gmail/Thunderbird | https://malicious-phish.com | <!--[if !mso]><!--> |
セキュリティへの影響と軽減策
この手法は、従来からの多種多様なメール・セキュリティ・ゲートウェイを回避するため、極めて危険である。それらのゲートウェイは、HTML コメント内のコンテンツを実行不可能と見なし、無視することが多いが、Outlook の条件付きコメントは例外である。その結果として、悪意のあるペイロードはセキュリティフィルターをすり抜け、また、初期分析から隠蔽される可能性がある。
緩和策の推奨事項:
- MSO の条件付きコメントを、解析/無効化する高度なメール・セキュリティ・ゲートウェイの導入を検討してほしい。
- Outlook 上でリンクが正当なものに見えても、特に機密情報を要求するような、即時対応を促すメールに注意するよう、ユーザーに教育してほしい。
- 疑わしいメールを複数のクライアントで開き、そこに潜む悪意のコンテンツを明らかにするための、サンド・ボックス・ツールを使用してほしい。
サンプル検出ルール(疑似コード):
pythonif "<!--[if mso]>" in email_html and "<!--[if !mso]><!-->" in email_html:
flag_as_suspicious(email)
Outlook の条件付きコメントを、フィッシングに悪用する事例は、すでに 2019年に報告されており、目新しいものではない。しかし、実際の攻撃で発生する事例は依然として稀であり、報告も不足している。
この手法が強調するのは、使用しているメール・クライアントで表示される内容に留まらず、プラットフォーム間での HTML レンダリングのニュアンスを、セキュリティ・チームが理解する必要性である。
攻撃者が革新を続ける中、進化するフィッシング脅威に対する最善の防御策は、依然として意識向上と技術的な警戒である。情報を入手し防御策を更新することで、これらの巧妙で技術的に高度なフィッシング攻撃から、組織は効果的に身を守ることが可能となる。
Outlook の条件付き HTML コメントを悪用するという、このフィッシング手法は、とても巧妙なものという感じですね。見慣れたリンクの背後にも、リスクは潜んでいるようです。また、表示される内容が、メール・クライアントごとに異なるという点も、とても興味深いところです。よろしければ、Outlook で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.