VPS悪用によるフィッシングが活発化 SaaS環境で被害拡大の恐れ：セキュリティニュースアラート

Darktraceは、VPSを悪用したSaaSアカウント侵害事例を報告した。HyonixなどのVPS経由で不審ログインや受信トレイルール不正操作、フィッシング隠ぺいなどが確認されているという。これに対処するにはどうすればいいのか。

[後藤大地，有限会社オングス]

　Darktraceは2025年8月21日（現地時間）、複数の顧客環境においてSaaSアカウントが侵害される事例を確認したと発表した。仮想プライベートサーバ（VPS）を経由した不審なログインが実行され、その後に受信トレイルールの不正作成や削除、フィッシング関連メールの隠ぺいが試みられていた。

　複数環境で同様の挙動を観測したことから、攻撃者はVPSを悪用し、標的型のフィッシングキャンペーンを展開していた可能性が高いと分析されている。

VPS経由のSaaSアカウント侵害事例　使われた手口を詳細に解説

　VPSは共有物理サーバで仮想的に独立したリソースを提供する仕組みであり、開発者や企業に広く利用されてきた。しかし近年、攻撃者による不正利用が増加しており、SaaSを狙った攻撃では地理的制御を回避し、IPレピュテーション検査をすり抜け、正規の通信に偽装する手段として悪用されている。HyonixやHost UniversalなどのVPSプロバイダーは、迅速な構築や低い情報露出が可能で、検知が難しく攻撃基盤として利用されやすいとされる。

　Darktraceは2025年5月に顧客環境におけるHyonix関連のインフラ利用について調査を開始した。2025年3月以降、このプロバイダーに関連するASNからの挙動に異常な増加が確認されており、総当たり攻撃や不審なログイン、メールボックスルール操作などが検出されていた。特に2つのネットワークでは顕著な活動が確認されている。

　1つ目のケースでは2台の内部端末がVPS由来のIPアドレスからログインされ、直後に送信済みフォルダ内の請求書関連メールが削除されている。この動作はフィッシングメール送信の痕跡を隠ぺいする試みであった可能性がある。また、正規ユーザーが遠隔地からログインしていた直後に別地点からもログインが発生しており、セッションハイジャックが実行されたとみられる。

　2つ目のケースではHyonixに加えてMevspaceやHivelocityなど複数のVPSプロバイダーからのログインが確認されている。その後、不可解な名称を持つ新規メールルールが作成され、アカウント復旧設定の変更も試みられた。これらの挙動は、攻撃者が長期的なアクセス維持を意図していたことを示している。実際に、組織内の複数ユーザーにほぼ同一の受信トレイルールが設定されるなど、共通の手口が使われていた。

　あるアカウントでは認証情報の登録変更が実施され、別のアカウントではパスワードリセットが試みられた。別環境では金融関連の件名を持つスパム送信が観測され、加えてDNSリクエストにおいてドメインフラックシングの手法が確認されている。また、正規のIT支援に使われている「Splashtop」がドメインコントローラーに配置されており、遠隔からの持続的なアクセスに利用した可能性もあるという。

　DarktraceはVPSの乱用がSaaS侵害における重要な要素となりつつあると指摘している。低コストかつ匿名性の高いVPSサービスが攻撃基盤として利用されることで、従来型の防御策を回避した侵入が可能となっている。この状況に対応するためには、行動ベースの検知と応答を採用し、ログイン元や不自然なメールルール作成などの微細な異常を把握することが不可欠としている。