CSSを悪用して検知機能をかく乱 流行待ったなしの新たな攻撃手法が登場：セキュリティニュースアラート

Cisco Talosは、CSSを悪用してスパムやフィッシングメールの検知を回避する攻撃手法「隠しテキストソルティング」に関する分析結果を公開した。既に複数の攻撃事例が確認されており広く利用される可能性が高い。

[後藤大地，ITmedia]

　Ciscoのセキュリティ研究チーム「Cisco Talos」は2025年10月7日（現地時間）、電子メールにおける「隠しテキストソルティング（hidden text salting）」の悪用に関する最新の分析結果を公表した。

　CSSの機能を悪用して電子メール内に無関係な文字列や要素を挿入し、それらを不可視化して検知を回避する手法とされている。Cisco Talosはこの技術が急速に普及し、スパムやフィッシング攻撃で広く使われていると指摘している。

隠しテキストソルティングの仕組みと対策を解説

　Cisco Talosは2024年3月1日〜2025年7月31日の期間に調査した結果、CSSの悪用が継続的に観測されたと伝えた。CSSはテキストや画像の表示・レイアウトを整える技術だが、攻撃者はその特性を悪用し、見た目上は存在しない「ソルト」と呼ばれる無関係なテキストを挿入することで、セキュリティ検知エンジンやスパムフィルターのかく乱を狙うという。

　攻撃手法の目的は、メールセキュリティツールの検知を回避したり、、一部の検知アルゴリズムをかく乱させたりすることだ。CSSで隠されたテキストは、検知ロジックに誤った入力を与え、スパムやフィッシングの判定を困難にし、検出精度を間接的に低下させることがある。

　Cisco Talosの観測事例では、「PayPal」を装った詐欺メールのHTML中に「Great news, we’ve got your order」（良いニュースです、お客さまのご注文を確認しました）という文が含まれていた。この文言は何らかの手続きが完了したことを伝えるフレーズだ。この事例ではCSSの「font-size」や「line-height」プロパティを操作することで視覚的に隠されていた。

　この他、小売チェ−ンのHarbor Freightを偽装したフィッシングでは、電子メール本文中のフランス語の単語を「display:none」で不可視化し、Microsoft製セキュリティツールの言語検知機能を誤認させていたという。

　隠しテキストソルティングが挿入される主な箇所として、プリヘッダやヘッダ、添付ファイル、本文の4領域が確認されている。プリヘッダやヘッダにおいて、CSSの「opacity」や「mso-hide」などを利用して文言を隠し、クリックを誘発する構成が見られた。

　添付ファイル内において、HTMLの中に無意味なコメントや文字列を埋め込み、静的解析を妨げる事例があった。本文では多くの事例が報告されており、ブランド名や重要なキーワードの間にゼロ幅スペース（ZWSP）やゼロ幅ノンジョイナー（ZWNJ）などの特殊文字を挿入する手法が確認されている。

　Cisco Talosは使用されるソルトの内容を「文字」「段落」「コメント」の3種類に分類した。文字ベースのソルトにおいて、ランダムな英数字やゼロ幅文字が使われ、検知システムのシグネチャ照合を妨害する。段落ベースのものにおいて、文法的に意味を持たない外国語の文章を挿入し、これをCSSで不可視化する例がある。コメント型のソルトにおいて、HTMLやJavaScript内に不要なコメントを多数挿入することで、解析を複雑化させていた。

　攻撃者が隠しテキストを実装するときに悪用するCSSプロパティは、「テキスト関連」「可視性・表示関連」「サイズ・クリッピング関連」の3分類に整理される。テキスト関連では「font-size」の0設定や文字色と背景色を同色にする手法が多い。可視性・表示関連では「display:none」や「visibility:hidden」「opacity:0」などが使われ、要素をレンダリングから除外する。サイズ関連では「width」や「max-height」を0に設定し、要素を極小の領域に押し込めて見えなくすることが確認されている。

　こうしたCSSを利用した内容の隠蔽（いんぺい）は、正規のメールよりもスパムやフィッシングメールで顕著に見られるという。顧客データを基に、代表的なCSSプロパティ（font-size:0、opacity:0、display:noneなど）が含まれる電子メールを調査したところ、スパム群では高頻度に使用されていた。

　Cisco Talosは隠しテキストソルティングが単純なシグネチャ検知だけでなく、機械学習（ML）や大規模言語モデル（LLM）を利用する高度な検知システムにも影響を与える可能性を指摘している。実際、クレジットカード会社のCapital Oneや「Microsoft Outlook」を装った攻撃において、CSSで隠されている無関係なテキストが電子メール全体の「意図」や「感情分析」を変化させ、検知を回避した例が確認された。

　同研究チームは防御策として、検知段階とフィルタリング段階の双方で対策を講じる必要があると述べている。検知の面において、電子メール本文だけでなくCSSの使用パターンや可視要素の不一致を分析する高度なフィルタリング技術を採用することが有効とされる。フィルタリングの面において、受信時にHTMLのサニタイズ処理を実施し、不可視要素を除去することで後段の検知エンジンに余計なデータを渡さない構成が推奨される。

　CSSの悪用による隠しテキストソルティングはスパムやフィッシング攻撃で頻繁に観測されており、単純な対策では防ぎきれない複雑な手法に発展している。攻撃者はCSSの柔軟性を逆手に取り、検知エンジンや言語解析モデルを混乱させる目的でこれを悪用している。今後もこうした攻撃を防ぐためには、HTML構造や可視化特性を含めた多面的な検知手法を組み合わせた総合的な防御体制が求められる。