概要
セキュリティ企業Guardio Labsは2026年4月、ベトナム系の脅威アクターによるフィッシングキャンペーン「AccountDumpling」を公表した。このキャンペーンではGoogleのノーコード開発プラットフォーム「AppSheet」が踏み台として悪用され、約3万件のFacebookビジネスアカウントが侵害された。被害は米国(全体の約68%)を筆頭に、イタリア、カナダ、フィリピン、インド、スペイン、オーストラリア、英国、ブラジル、メキシコなど世界10カ国以上に広がっている。
攻撃の起点となるフィッシングメールは「アカウントが永久停止される」と警告するMeta Supportを装ったもので、送信元アドレスにはnoreply@appsheet.comやappsheet.bounces.google.comが使われる。正規のGoogleインフラ経由であるため、SPF・DKIM・DMARCの認証チェックを通過してしまい、スパムフィルターによる検知が著しく困難になっているのが特徴だ。
4つの攻撃クラスターと技術的手法
Guardio Labsの分析によると、AccountDumplingは用途の異なる4つの攻撃クラスターで構成されている。
クラスター1(認証情報収集): Netlify上にホストされた偽のFacebook Help Centerページへ誘導し、ログイン情報や政府発行IDを窃取する。被害者ごとに固有のサブドメインを生成することでブロックリストへの登録を回避している。
クラスター2(インセンティブ型): Vercel上にホストされた偽の「セキュリティチェック」ページへ誘導し、青いバッジ(認証バッジ)の付与を餌にしてパスワードと2FAコードをリアルタイムで収集する。Unicodeの難読化と多段階のフローを組み合わせることで解析を妨害している。
クラスター3(インタラクティブフィッシング): Google DriveにホストされたCanva製PDFを利用し、WebSocketで接続された攻撃者操作パネルへ被害者を誘導する。リアルタイムで攻撃者が被害者とやり取りできる高度な仕組みが実装されている。
クラスター4(ソーシャルエンジニアリング): Meta・WhatsApp・Apple・Adobeの採用担当者を装い、会話を攻撃者が管理するプラットフォームへ移行させた後に情報を詐取する。
帰属と収益化スキーム
攻撃者の帰属を示す手がかりはCanva PDFのメタデータに残されていた。ファイル作成者として記録されていたベトナム語名「Phạm Tài Tân」を手がかりにOSINT調査を行ったところ、デジタルマーケティングサービスを宣伝するウェブサイト(phamtaitan[.]vn)と結びついたことが確認された。コード中のベトナム語コメントやボットの命名規則からも、複数のアクターが関与するモジュール式のエコシステムが示唆されている。
窃取したアカウントは不正な販売ネットワークを通じて転売されるほか、被害者に「アカウント復旧サービス」として売り戻す二重の収益化スキームも確認されており、研究者はこれを「犯罪的な商業ループ」と表現している。
対策と教訓
今回の攻撃が示す最大の教訓は、正規の大手クラウドサービスを踏み台にすることで従来のメール認証機構を無力化できるという点にある。ユーザーへの推奨対策としては、緊急を煽るメール内のリンクを不用意にクリックしない、2要素認証を有効にする、不審なアカウントアクティビティを継続的に監視するなどが挙げられる。企業・組織側にはAppSheetをはじめとするノーコードプラットフォームの送信メールポリシーの見直しや、従業員向けフィッシング訓練の強化が求められる。