TokyoBlackHatNews

esecurityplanet.com 5分で読了

Google Tasksがステルス型フィッシング攻撃の配信に悪用されていた

研究者らは、攻撃者がGoogle自身の通知インフラを悪用し、従来のメールセキュリティ制御を回避する非常に説得力の高いフィッシングメールを配信しており、世界中で3,000以上の組織に影響が及んでいると警告している。 

2025年12月に観測されたこのキャンペーンは、信頼されたプラットフォームの悪用がエスカレートしていることを示しており、偽装ドメインではなく正規のサービスを用いて悪意あるメッセージを配信している。

RavenMailの研究者は、攻撃者は「…Google自身のアプリケーションやクラウドインフラを悪用して、正規に見え、認証も問題なく通り、従来のセキュリティ制御を回避するフィッシングメールを配信するケースが増えている」と述べた

Google Tasksフィッシングキャンペーンの内部

攻撃者はGoogleを偽装する代わりに、GoogleのApplication Integrationサービスを悪用して正規のGoogle通知メールを生成した。 

これらのメッセージにはタスクを表示完了としてマークといった見慣れたアクションボタンが含まれており、正規のGoogle Tasksのワークフローに非常に近いため、ユーザーが本物のシステムアラートと見分けるのが難しかった。

受信者がボタンをクリックすると、storage[.]cloud[.]google[.]comでホストされたフィッシングページへリダイレクトされた。 

リンクが信頼されたGoogle所有ドメインに解決されるため、URLレピュテーションやドメインベースのフィルタリングでは不審な活動として検知できなかった。

フィッシングページ自体も、高い忠実度でGoogle Tasksを模倣するよう慎重に作り込まれており、本物らしいUI要素、ブランド化されたレイアウト、フッターテキスト、プロフェッショナルな体裁が用いられていた。 

この視覚的な正当性によりユーザーの警戒心が低下し、認証情報を送信してしまう可能性が高まったと考えられる。

またメールでは、全従業員のような権威付けの手掛かりに加え、緊急性と最小限の文脈を組み合わせ、精査せずに素早く行動するよう促していた。 

悪意ある添付ファイルも外部ドメインもなく、認証上の異常もないため、従来のメールセキュリティ制御では検知の手掛かりがほとんどなかった。

研究者らは、このキャンペーンが信頼されたプラットフォーム悪用というより広い傾向を反映していると指摘している。 

同様の攻撃では、Google Classroom、Google Forms、AppSheetが悪用され、正規の企業ワークフローを操作して認証情報が収集されてきた。

信頼されたSaaS悪用への防御

この種のキャンペーンは通常の業務ワークフローにシームレスに溶け込むため、ドメインレピュテーションやシグネチャベースの制御だけでは検知が難しい。 

この変化に対抗するには、組織内で信頼されたツールがどのように使われ、そして悪用されているかについて、より深い可視性が必要となる。

  • 異常なワークフローを検知するための文脈に基づくメール分析を実装する。例えば、タスクやコラボレーションツールが、本人確認、人事、コンプライアンス対応に使われているケースなど。
  • SaaSプラットフォーム内でワークフローレベルの制御を強制する。従業員向けの依頼や外部通知を送信できるサービスを制限する。
  • フィッシング耐性のある認証と条件付きアクセスのポリシーを適用する。ユーザーが信頼されたプラットフォームとやり取りしてしまった場合でも、認証情報漏えいの影響を抑える。
  • クラウドストレージとリンク共有ポリシーを強化する。未認証アクセス、認証情報の収集、信頼されたドメインからの予期しないリダイレクトを防ぐ。
  • 配信後のメール検知と遡及的な対応機能を有効化する。初回配信後に悪意あるメッセージを特定し、是正する。
  • ログ、アイデンティティ脅威検知、インシデント対応のプレイブックを拡充する。正規のSaaSサービスや信頼されたインフラの悪用に特化して対処できるようにする。

これらの手順は、異常なワークフローの検知と被害範囲(blast radius)の抑制に役立つ。

信頼されたプラットフォームが攻撃ベクトルになるとき

このキャンペーンは、信頼された企業プラットフォーム内での「Living-off-the-land」攻撃への移行が進んでいることを浮き彫りにしている。 

攻撃者は露骨に悪意あるインフラに頼るのではなく、正規のSaaS機能を転用して、大規模にフィッシングやソーシャルエンジニアリングを実行している。 

同様の悪用はSalesforceやAmazon SESといったプラットフォームでも観測されており、組み込みのメッセージングや自動化機能が、運用上は通常に見えながら悪意ある配信に利用されている。

SaaSエコシステムがより相互接続され、日々のワークフローに深く組み込まれるにつれ、攻撃対象領域は従来のインフラ脆弱性から、業務ロジック、アイデンティティの信頼、ワークフロー上の前提へと移りつつある。 

この進化により、セキュリティチームは検知と防御戦略の再考を迫られ、メッセージの発信元よりも、その振る舞いが想定される利用と整合しているかに焦点を当てる必要がある。

攻撃者が信頼されたプラットフォームとワークフローを悪用する中、防御はアイデンティティと振る舞いを継続的に検証するゼロトラストモデルへ移行しなければならない。 

翻訳元: https://www.esecurityplanet.com/threats/google-tasks-used-to-deliver-stealth-phishing-attacks/

ソース: esecurityplanet.com
#Google Cloud Storage #Google Tasks #SaaS悪用 #インシデント対応 #ゼロトラスト #フィッシング攻撃 #メールセキュリティ回避 #信頼されたプラットフォームの悪用 #条件付きアクセス #認証情報窃取

関連記事

Claude Code GitHub Actionsの脆弱性がサプライチェーン攻撃リスクを招いた問題

GoogleがAndroidのゼロデイ脆弱性にパッチを適用——実際の悪用が確認

偽のClaude Codeインストーラーが認証情報を盗むマルウェアを配布