「メールを開いただけで識別される」 ここ1年で7倍に増えたn8nを悪用したデバイス追跡とマルウェア配布の手口：正規サービスが攻撃の配送路に変わる

Cisco Talosは、AIワークフロー自動化プラットフォーム「n8n」を悪用したフィッシングキャンペーンの増加を確認した。攻撃者は正規サービスを通じてマルウェア配布やデバイスフィンガープリンティングを自動化しているという。

[＠IT]

　Cisco Systemsの脅威インテリジェンス部門Cisco Talosは2026年4月15日（米国時間）、AIワークフロー自動化プラットフォーム「n8n」が脅威アクターに悪用され、フィッシングキャンペーンの基盤として利用されていることを公表した。

　攻撃者は正規の自動化プラットフォームを武器化することで、マルウェア配布からデバイスフィンガープリンティングまでを自動化している。デバイスフィンガープリンティングとは、デバイス固有の情報を収集して、ユーザーのデバイスを識別する技術のこと。攻撃者は、信頼されたサービスを悪用することで従来のセキュリティフィルターを回避し、生産性ツールを持続的な遠隔アクセスの配送路に変えているという。

n8nのWebhook URLを含むメール数の推移（提供：Cisco Talos）

　Cisco Talosは2025年10月から2026年3月にかけて、n8nを悪用するメールの増加を観測。2026年3月のn8nのWebhook URLを含むメール量は、2025年1月と比較して約686％増加したとしている。

n8nとは何か

　n8nは、「Slack」「GitHub」「Googleスプレッドシート」といったHTTPベースのAPIを持つWebアプリやサービスを接続し、自動化されたワークフローを構築するプラットフォーム。コミュニティーライセンス版は組織が自己ホストでき、商用版「n8n.io」にはWebベースのAPIを使って文書やデータソースからデータを取得するエージェントを作成できるAI機能が含まれる。

　ユーザーは初期費用なしでn8n開発者アカウントに登録でき、登録時に「tti.app.n8n[.]cloud」上にサブドメインが作成される仕組みになっている。Cisco Talosは2026年初頭に、別のAI指向Webアプリサービス「Softr.io」が、一連の標的型攻撃でフィッシングページの作成に使われていたことも観測している。

Webhookが悪用される仕組み

　Cisco Talosの調査によると、n8nのAIワークフロー自動化プラットフォームで悪用の主要ポイントとなっているのは、URLで公開されるWebhookだ。Webhookは、あるアプリが別のアプリにリアルタイムで情報を提供するための仕組みで、「リバースAPI」とも呼ばれる。URLにアクセスがあると、後続のワークフローステップが起動して要求元アプリにHTTPデータストリームとして結果を返す。

n8nのWebhook URLの構造例（提供：Cisco Talos）

　URLがメール経由でアクセスされた場合、受信者のWebブラウザが受信アプリとして機能し、出力をWebページとして処理する。Webhookはデータ配信元を隠蔽（いんぺい）できるので、信頼されたドメインから発信されたように見せ掛けながら、ペイロードを配信できる。リクエストヘッダ情報などのトリガーイベントに基づいて異なるデータストリームを動的に配信できるので、フィッシング実行者はuser-agentヘッダに応じてペイロードをカスタマイズできる。

マルウェア配布への悪用

　Cisco Talosは、「Microsoft OneDrive」の共有フォルダを装ったメール内に、n8nでホストされたWebhookリンクを使うフィッシングキャンペーンを観測した。リンクをクリックすると、対象ユーザーのWebブラウザでCAPTCHAを含むWebページが開き、CAPTCHAを完了するとダウンロードボタンが表示される。ペイロードは外部ホストからダウンロードされるが、全プロセスがHTMLドキュメントのJavaScript内で完結するため、Webブラウザ上ではn8nドメインからのダウンロードに見える。

　このケースでは、ペイロードは自己解凍アーカイブを装った「DownloadedOneDriveDocument.exe」という実行ファイルだった。実行すると、RMM（Remote Monitoring and Management）ツール「Datto RMM」の改変版がインストールされてPowerShellコマンドの連鎖が実行される。

　PowerShellコマンドは、Datto RMMツールを抽出、構成してスケジュールタスクとして設定し、起動することで「centrastage[.]net」ドメイン上のリレーへの接続を確立した後、自身とペイロードの残りを削除する。

Webhook経由で配信されるマルウェアの攻撃チェーン（提供：Cisco Talos）

　Cisco Talosは、別のペイロードを配信するために同様にn8n Webhookを利用した類似キャンペーンも観測した。このCAPTCHAコードは先のケースよりも単純で、CAPTCHAを解くと、悪意を持って改変されたMicrosoft Windows Installer（MSI）ファイル「OneDrive_Document_Reader_pHFNwtka_installer.msi」が配信される。

　このペイロードは解析対策パッカー「Armadillo」で保護されており、バックドアとしてRMMツール「ITarian RMM」を悪用する。「msiexec.exe」で実行されると、ITarian RMMの改変版がインストールされ、Pythonモジュールで標的システムから情報を窃取する。この過程で偽のインストーラーGUIがプログレスバーを表示し、完了後にバーが0％にリセットされてアプリが終了することで、インストール失敗の印象を演出する。

デバイスフィンガープリンティングへの悪用

　Cisco Talosは別の一般的な悪用事例として、デバイスフィンガープリンティングを観測している。これはメール内に透明な画像（トラッキングピクセル）を埋め込むことで実現される。HTMLタグ「img」が使用されると、メールクライアント（Microsoft OutlookやGmailなど）は指定URLから画像を取得するよう指示される。

　メールクライアントが画像を読み込もうとすると、指定されたアドレス（n8nのWebhook URL）に自動的にHTTP GETリクエストを送信する。これらのURLには被害者のメールアドレスなどのトラッキングパラメーターが含まれており、サーバ側でどのユーザーがメールを開封したかを正確に特定できる。

　画像は「display」と「opacity」のCSSプロパティによって不可視化されている。Cisco Talosは、ギフトカードの新機能を紹介する別のスペイン語のスパムメールでも、同じ手法でメール開封追跡とデバイスフィンガープリンティングが行われていたことを確認している。

n8nが悪用されたスペイン語のデバイスフィンガープリンティングメールの例（提供：Cisco Talos）

防御側に求められる対応

　Cisco Talosは、AIワークフロー自動化プラットフォームの悪用に対して、より高度な振る舞いベースの検知への移行が必要だと指摘している。対策としては、セキュリティ専門家との脅威インテリジェンスの共有、AIを活用した検出機能を備えたメールセキュリティの導入を推奨している。