- 攻撃者はGoogle Cloud Application Integrationを悪用し、正規のGoogleドメインからフィッシングメールを送信した
- メールはGoogleの通知を模倣し、被害者を信頼されたサービス経由でリダイレクトした
- 約3,200社が標的に;被害者の多くは米国の製造業、テック、金融分野
正規のGoogleサービスが、再びフィッシング攻撃に悪用され、標的を巧みにだまして悪意あるリンクをクリックさせ、ログイン認証情報を渡してしまう事態が起きています。
新たに公開されたレポートで、Check Pointのサイバーセキュリティ研究者は、2週間の間に約3,200社に対して送信された約1万通のメールを確認したと述べています。
すべてのメッセージは [email protected] のメールアカウントから送信されており、攻撃者がGoogle Cloud Application Integrationを悪用していたことを意味します。
米国の製造業を標的に
これは、カスタムコードを書くことなくアプリケーション、API、データソースを接続できるマネージドのGoogle Cloudサービスです。事前構築されたコネクタ、トリガー、アクションを用いて、クラウドサービス、SaaSアプリ、社内システム間のワークフローを自動化できます。Google Cloud Application Integrationを通じて生成されるメールは、Googleが所有するインフラやドメインから送信されることが多く、自動化されたワークフローの一部として送られるため、Googleの強力な送信者レピュテーションを引き継ぐ可能性があります。
フィッシングキャンペーンでは、脅威アクターがGoogle Cloudプロジェクトを作成または侵害し、Gmail APIや他の連携メールサービスを介してメールを送信する統合ワークフローを設定できます。言い換えれば、これは単なる悪用であり、Googleのインフラへの侵害ではありません。
メールをさらにもっともらしく見せるため、攻撃者はメッセージがGoogleの通知スタイル、文言、書式に極めて近くなるようにしました。最も一般的な誘導文句には、保留中のボイスメールメッセージや、ドキュメントが共有されたという通知などがあります。
これらのメールで共有されるリンクは、信頼されたGoogle Cloudサービスである storage.google.cloud.com に誘導します。しかしその後 googleusercontent.com にリダイレクトされ、そこでセキュリティスキャナーを遮断するために作られた偽のCAPTCHAを通過する必要があります。最後に、被害者は偽のMicrosoftログインページへリダイレクトされ、そこでログイン認証情報を渡してしまうようだまされる可能性があります。
被害者の大半は米国(48.6%)で、製造業/工業(19.6%)、テクノロジー/SaaS(18.9%)、金融/銀行/保険(14.8%)に従事していました。
GoogleはCheck Pointに対し、Google Cloud Application Integrationを悪用した「複数のフィッシングキャンペーン」はすでにブロックされたと伝えました。
Googleは「重要なのは、この活動はワークフロー自動化ツールの悪用に起因するものであり、Googleのインフラが侵害されたわけではないという点です。この特定の攻撃からユーザーを守るための保護策を実装しましたが、悪意ある行為者は信頼されるブランドのなりすましを頻繁に試みるため、引き続き注意を促します。さらなる悪用を防ぐため、追加の措置を講じています」と結論づけました。
