すべての投稿に戻る
公開日 · 著者 Renaud Deraison

自らを組み立てたフィッシングページ

Cisco TalosのQ1 2026 IRレポートは、初期侵入経路としてフィッシングが再び首位に戻ったことを示しており、そのなかで、AI「バイブコーディング」ビルダーに起因するとTalosが帰属させた初の事例 — `*.softr.app`サブドメイン上に立ち上げられたOutlook Web Accessのクローンが、使い捨てのGoogleスプレッドシートへ資格情報を流出させていた事例 — を記録しています。URLレピュテーションでは、これを先読みできません。正しい答えは、スタックの下側にあります。

Cisco Talosは4月22日にQ1 2026のインシデントレスポンスレポートを 公表しました。二つの発見が、一つの物語を語っています。Q1において フィッシングが初期侵入ベクトルとして首位に返り咲き — 対応案件の 三分の一以上 — これは2025年Q2以来のことです。そしてその首位の なかに埋もれていたのが、AI「バイブコーディング」ビルダーに起因する とTalosが帰属させた初の事例です。攻撃者はノーコードアプリ基盤の Softrを使い、*.softr.appサブドメイン上に本物さながらの Outlook Web Accessクローンを立ち上げ、資格情報を使い捨ての Googleスプレッドシートに取り込んでいました。このページは一行の コードも書かずに作られました。URLレピュテーションでは、これを 先読みできません。

TalosのQ1 2026 IRトレンドレポートは 4月22日に公開され、トップラインは守る側が指標として読み取るような 内容でした。フィッシングは、侵入経路が特定できた対応案件のうち 三分の一以上を占め、もっとも多く観測される初期侵入ベクトルに返り咲き — これは2025年Q2以来のことです。MFAの弱さは対応案件の35パーセントに 現れ、Q4からさらに増加しました。公共行政と医療がもっとも狙われた セクターとして並び、それぞれ24パーセントでした。これらは、単独では それほど意外な話ではありません。

意外なのは、レポートの中ほどにあるケーススタディです。Talosは、 中程度の確信度を付けたうえで、特定のAIアプリ — Softrというノーコードの 「バイブコーディング」アプリビルダー — が実働する資格情報収集ページの ホスティングに使われた、最初の観測であると記述しています。そのページは Microsoft ExchangeとOutlook Web Accessを模倣していました。送信された 資格情報を、使い捨てのGoogleスプレッドシートに取り込んでいました。 新しい取得があると、オペレーターにメールで通知していました。Talosは、 このパターンが少なくとも2023年5月にさかのぼるが、2025年後半から Q1にかけて加速していると評価しています。Trend Microの並行追跡は、 同じ手口をLovable、Netlify、Vercel上でも確認しています。AIビルダーの サブドメイン上に偽のCAPTCHAページを立ち上げ、そのチャレンジの裏側に 本物の資格情報フォームを読み込ませる、という手口です。

個々のページそのものは、取り立てて変わったところはありません。 ホスティングこそが物語なのです。

連鎖の実態はどうなっているか。

Softrのようなノーコードビルダーは、設計上、プロンプトから実働ウェブ アプリケーションまでの距離がきわめて短いものです。欲しいものを 説明すると、HTMLとJavaScriptが生成され、その成果物が自前のインフラに デプロイされ、無料のサブドメインが付与されます。そのサブドメインは、 他のすべてのSoftr顧客のサブドメインと兄弟関係にあります。 something.softr.appです。Softrがホスティング、TLS証明書、CDN、 稼働維持を引き受けます。資格情報収集ページを運用したい攻撃者で、 ドメインを登録したくない、証明書を買いたくない、VPSを借りたくない、 何をホストしているか誰にも説明したくないのであれば、これは格別の 価値提案なのです。

攻撃者評判のよいSaaS — 宣伝通りに動いている攻撃者1プロンプト「Outlookログインページ、入力をこのシートに送信」2Softrノーコードビルダーページを生成3*.softr.app無料サブドメインTLS · CDN込み4OWAクローン被害者が入力メール+パスワード5Googleシート使い捨て取得ごとに1行6通知取得時にオペレーターへメール評判のよいSaaSサブドメインが四つ。連鎖の中間に、攻撃者所有のインフラは存在しません。オペレーターがやらずに済んだこと— ドメインの登録やDNS料金の支払い— TLS証明書の購入やCDNの設定— VPSの借用やサーバーの維持— HTML、JavaScript、バックエンドコードの記述— インフラ提供者にページの内容を説明すること
Talosが記録した連鎖。最初の要素を除き、すべては評判のよいSaaSが製品ページに書いてある通りのことをしているにすぎません。この連鎖を見るドメインレピュテーションシステムは、アプリビルダーの成果物、大手発行者からのTLS、そしてGoogleインフラへの流出を目にします。本当に攻撃者が制御している面は、冒頭のオペレーターのプロンプトと、末尾で通知を受け取る受信箱だけです。

この特定の連鎖が興味深いのは、攻撃者自身のプロンプトと攻撃者自身の 受信箱を除けば、すべてのリンクが、宣伝通りのことをしている主流派の SaaS製品だということです。Softrがページを構築します。softr.appが サブドメインとしてそれをホストします。Googleスプレッドシートが 収集した資格情報を保管します。Gmailがオペレーターに通知します。 この連鎖を上から下までたどる自動化された守り手の目には、評判のよい 第三者しか映りません。連鎖は隠れてはいません。守り手が「無害」と 分類するように作られてきたカモフラージュをまとっているのです。

URLレピュテーションの死角。

大半のURLレピュテーションシステム — ブラウザがTLSハンドシェイクを 終える前にリンクを「安全」「疑わしい」「悪意あり」と採点する ものたち — は、信用情報機関のように働きます。ドメインのプロファイルを 組み立てるのです。ドメインがどれくらい古いか、どれほど知られているか、 TLS証明書が長い履歴を持つのか、Let's Encryptの新しいものなのか、 ブロックリストに載ったことがあるか、親会社が健全な地位にあるか。 このプロファイルが数値を生み、数値が判定を生み、判定が色を生みます。

something.softr.appをそのパイプラインに通してみましょう。

URLレピュテーション — 採点者に見えるもの検索: onboarding-portal-8xq.softr.app親ドメインの年齢softr.app · 2019年登録 · 6年以上TLS証明書有効 · 公的CAによる発行カテゴリ / 分類SaaS · ノーコード / アプリビルダー公開ブロックリスト主要フィードに該当なしHTTPS配信あり · 親ドメインでHSTS親ドメインの流量順位最上位の世界的SaaS判定:無害 · ブロックに値するシグナルなし同じURL — 人間に見えるものonboarding-portal-8xq.softr.app/loginOutlook業務アカウントにサインイン[email protected]パスワード上のスコアカードは、下のフォームを決して見ません。
立ち上がったばかりのSoftrサブドメインに対するURLレピュテーションのスコアカード。レピュテーションシステムが頼る親ドメインレベルのシグナルは、実際に収集を行うサブドメインではなく、評判のよい親ドメインが答えます。下段にあるログインフォームは、同じページ上で人間が目にするもの — そしてレピュテーションスコアが決して見ないものです。

レピュテーション層が頼るあらゆるシグナルは、親ドメインsoftr.appの 属性であり、親ドメインが返す答えはどれも正しいものです。6年もの。 証明書は有効。いかなるブロックリストにも載っていない。HTTPSを配信 している。採点者が分類済みのカテゴリ。サブドメインは、これらのどれも 意味のある形では変えません。サブドメインのページが、誕生日カード なのか資格情報収集フォームなのか — 採点者には判別する手立てがなく、 URLレピュテーションの設計上、そこを見る理由も構造的に存在しない のです。

Talosの観察は、攻撃者はしばらく前からこれに気づいており、いまや それを運用化している、というものです。ページは評判のよいSaaSで 構築し、資格情報は評判のよいSaaSに集め、通知は評判のよいSaaS経由で 経路付ける。守り手に、拒む理由を何ひとつ与えない、ということです。

正しい層はURLではなく、ページである。

守りはスタックの下側へ移らねばなりません。ホスティングが洗浄され てしまえば、なお信頼できる唯一のシグナルは、ページ自身が何を称して いるか、そして実際には何であるか、です。onboarding-portal-8xq.softr.app 上のOutlookログインフォームは、フィッシングです。 login.microsoftonline.com上のOutlookログインフォームは、そうでは ありません。同じフォーム、異なるオリジン、異なる判定。フォームを 読んでオリジンと照らし合わせられるシステムは、このページについて 何かを言えます。URLしか読まないシステムは、そうできません。

これこそBromureのアンチフィッシングインスペクターが すでに働いている層です。Bromureのあらゆるタブのなかで、コンテンツ スクリプトがページの読み込みを監視し、ページが何を称しているかを 人間が判断するときに使うシグナル — 表示されているテキスト、タイトル、 ロゴの配信元、フォームの形状、要求されている項目 — を抽出し、その 束をvsockチャネル経由で小さなモデルへと送り、モデルは平易な言葉で 判定を返します。「このページはMicrosoft Outlookを名乗っているが、 softr.app上にホストされている」 — 熟練した読み手が数分の一秒で たどり着くような、まさにそうした一文です。モデルも同じ結論に たどり着き、利用者に見えるバナーは、判定に合った色とともに、 それを一文で語ります。

onboarding-portal-8xq.softr.app/login同じURL。二つの守り手。二つの判定。URLレピュテーション入力親ドメインの年齢、証明書、カテゴリ、ブロックリスト掲載、人気度検査範囲パスより上の部分すべてページ本体は取得しない判定:無害利用者の通過を許可ページコンテンツインスペクター入力表示テキスト、タイトル、ロゴの配信元、フォーム項目、ブランド主張対ホスト検査範囲「Outlook」ブランド主張 · softr.appホストパスワード項目 · 新しいサブドメイン判定:フィッシングバナー · 警告画面 · ブロック
同じURLを見る二つの守り手。URLレピュテーションのスコアは親ドメインしか見ず、緑を返します。コンテンツインスペクターはページが実際に何であるかを読み、不一致 — アプリビルダーのサブドメインにあるMicrosoftブランドのログインフォーム — に気づき、赤を返します。基盤となるページは、どちらの場合も同じものです。

コンテンツインスペクターは魔法ではなく、証明でもありません。 URLレピュテーションが構造的に答えられない問いに答える、訓練された セカンドオピニオンです。その問いとは、*このページは何を称している のか?*です。その問いは、softr.appvercel.applovable.appの 上で、ウェブのほぼどこよりも鋭い縁を持ちます。というのも、これらの サブドメイン上では、残る唯一のシグナルがほぼページコンテンツだけ だからです。ほかはすべて、親ドメインを通じて洗浄されてしまって います。

Bromureがなお止められないこと。

コンテンツインスペクターと、それが描き出すバナーと、それが課せる ブロックは、第一線です。第一線は、いつも持ちこたえるとは限りません。 説得力のあるメールで下地を作られてしまった利用者、勤務時間の真ん中 にいる利用者、Outlookのログイン画面を通り抜けるのが習慣になって いる利用者は、警告バナーをクリックで突破しえます。インスペクターが まだ評価していないページや、明確なフィッシングではなく疑わしいと 評価したページに行き着いた利用者が、疑わしいたぶん大丈夫と 同じくらいに扱うと決めてしまうこともあります。

そうなったとき、利用者はフォームにパスワードを打ち込み、フォームは それを取り込みます。世界中のどのブラウザアーキテクチャも、タイピング そのものを封じることはできません。これは、この記事でもっとも率直で 重要な留保です。Bromureは、利用者が攻撃者のフォームに本物のパスワードを 入力すること自体を妨げません。Bromureが形作れるのは、そのあとに 起きることであり、そのあとに起きることは、利用者の他の作業が どこにあるかに依存します。

ブラウザ習慣の体制が変えること、変えないこと。

資格情報フィッシングがバナーをすり抜けた場合、Bromureの アーキテクチャが率直に変えるものを挙げます。

  • 誤ったオリジンではパスワードマネージャの自動入力が働かない。 パスワードマネージャは保存済み資格情報をオリジンと照合しますが、 ここでのオリジンは利用者の保管庫が一度も見たことのないsoftr.app です。自動入力は発火しません。利用者は自分で打ち込まねばなりません。 これは現実的で、安価で、地味な防御であり — Chromeでも Bromureでも同じくらい効きます。それでもあえて挙げるのは、判断に 依存しない防御だからです。フィッシングが打ち負かすものこそ、 判断なのです。
  • フィッシュタブに永続プロファイルは残らない。 フィッシングを保持していたタブは、一時的なLinux VMです。閉じると、 そこに読み込まれたもの — クッキー、ストレージ、キャッシュ、 フィンガープリント — は何も残りません。これは、利用者が打ち込んで 漏らした資格情報を取り戻すものではありません。ですが、長命な プロファイルに静かにマーカーを埋め込み、セッションをまたいで 利用者を追跡する、ということはページにできません。
  • ホストに手を伸ばそうとしたページは、届かない。 Talosのケーススタディは純粋な資格情報収集です。Trend Microが LovableやVercel上で追跡している広範なパターンには、続きを仕掛ける ページ — ClickFixの貼り付け、「このインストーラを実行」、 ネイティブアプリの促しへ解決する偽のCAPTCHA — も含まれます。 フィッシュページがホストOSに引き渡そうとしても、タブVMはその 引き渡しをハイパーバイザーの境界で断ち切ります。このブログの 他の記事と同じ、アーキテクチャ上の理由です。

そして、Bromureが変えないものを挙げます。

  • 攻撃者インフラからの資格情報の再利用。 攻撃者がいったんユーザー名とパスワードを得てしまえば、自分の インフラから本物のOutlookにサインインできます。被害者の端末上で、 Bromureも含め何も、そのセッションには関与しません。MFAは助け になります。フィッシュ耐性のあるMFA — ハードウェアキー、 パスキー — はさらに助けになります。レガシー認証を禁ずるテナント レベルのポリシーがもっとも助けになります。これらがこの攻撃の この段に対する処方箋であり、ブラウザのアーキテクチャがそれらの 代わりになるなどと、このブログが言い張るつもりはありません。
  • ライブセッションを中継するadversary-in-the-middleキット。 Talosが記録しているSoftrの事例は静的な資格情報収集ページで、 AiTMリバースプロキシではありません。より高度なキット群 — Tycoon、Evilproxy、そしてその系譜 — は、被害者のMFAチャレンジを フィッシュ経由で本物のプロバイダへ中継することで、生のセッション クッキーを取得します。そのセッションクッキーは、取得された瞬間から 攻撃者のインフラ内に存在します。ブラウザ側の使い捨て性はこれ以降の セッション衛生には寄与しますが、すでに建物を出たクッキーを遡って 無効化することはできません。サーバー側でのクッキーバインディング — DBSCやその仲間 — が、その処方箋です。

インスペクターが捕らえるもの

*.softr.app*.vercel.app*.lovable.app上のMicrosoft ブランドのログインフォームは、コンテンツインスペクターがまさに 検出するように作られたパターンです。シグナルはURLではありません。 ブランドの主張とホストのあいだの不一致こそが、それです。

タブVMが捕らえるもの

フィッシュがホストOSに引き渡そうとするもの — ターミナルや Spotlightへの貼り付け、インストーラの促し、プロトコルハンドラ — は、タブがデスクトップとOSを共有しないため失敗します。フィッシュは VMの中にとどまります。

判断がなお捕らえねばならないもの

バナーを見逃したり却下したりすれば、打ち込まれたパスワードは フォームを通じて出ていきます。コンテンツインスペクターはもう 一組の目であって、キーボード上の三本目の手ではありません。この 特定の経路においては、フィッシュ耐性のあるMFAが最後の砦であり、 Bromureはその代わりにはなりません。

サーバー側が捕らえねばならないもの

攻撃者インフラからの資格情報再利用、AiTMによるライブセッションの 乗っ取り、長命なトークン — これらはブラウザではなく、アイデン ティティプロバイダの環境で決着します。クッキーバインディング、 条件付きアクセス、ハードウェア裏打ちのキーが、そこで適用される 道具立てです。

なぜこれが一過性ではなく、分水嶺なのか。

Talosの「初の帰属」という言い回しは慎重で、このパターンが2023年5月 にさかのぼるという中程度の確信度の評価は、誰かが名前を付ける前に 2年近くひそかに加速していたことを示唆します。最良の攻撃手法は、 そうやって現れるものです。発表としてではなく、誰かがついに描いた グラフの上で気づかされる曲線として、です。Trend Microの2025年9月の AIビルダーホスト型フィッシングに関する報告は、反対側から同じ曲線を なぞっていました。交点はここにあります。利用者が*.softr.app*.vercel.app*.lovable.app*.netlify.appへのリンクを 絶対にクリックしない、と仮定している守り手は、先期末にすでに 終わった世界を仮定していることになります。

理由はコスト構造です。10年前、信じられるフィッシングページを立ち 上げるには、能力かお金が必要でした。ドメイン、証明書、サーバー、 すぐには出所を漏らさないページ、です。今日、ノーコードビルダーは その四つすべてを、無料枠のサインインと引き換えに処理します。次の なりすましサイトの限界費用は、プロンプティングに費やす数分で測られ ます。撤去の限界費用は — 各ページが独自ドメインではなく評判のよい プロバイダのサブドメインに宿るため — かつてより高くなっています。 この二つの曲線は、守りにとって逆方向を指しており、「利用者に悪い URLを見分ける訓練を」という主流派の対応は、この時点ではコスト センターであって、制御ではありません。

利用者を守ると称するブラウザにとっての率直な立場は、URLレピュテーション システムにはできない仕事を行わねばならない、というものです。実際に ページを読まねばなりません。ログインのように見えないドメイン上の ログインのように見える各フォームについて、フォームがドメインに合致 しているのか、それともドメインについて嘘をついているのかを判定せねば なりません。それを、人間が読める一文で言えねばなりません。そして、 その一文が読むに値するほどには、多くの場合正しくなければなりません。

ひとつの物語、そしてそれが予告するもの。

Talosはひとつのページについて書きました。そのページはひとつの SaaSで作られ、別のSaaSに資格情報を集め、さらに別のSaaS経由で オペレーターに通知しました。その連鎖のすべてのリンクが、レピュテー ション採点者にとっては善良な隣人です。Talosが語る物語は、今年末 までには例外ではなくなります。「バイブコード化された」フィッシング は珍しい現象のラベルではありません。これからは、資格情報を狙う 攻撃者が攻撃ページを作る既定の方法の名前です。なぜならそれが、 もっとも安価で、もっとも寛容な方法だからです。

あなたのブラウザのフィッシングへの唯一の答えがURLレピュテーション スコアなのであれば、あなたのブラウザにはこれへの答えがありません。 レピュテーションスコアは緑になります。ページは赤になります。 Bromureをインストールしてください — そして、不一致が実際に 宿るページに、もう一組の目を置いてください。