攻撃者は、スパムフィルターをすり抜ける非常に巧妙な偽の「Google」メールを送信し、被害者を複数の信頼できるGoogle所有のサービス経由で誘導したうえで、最終的にユーザー名とパスワードを収集するために作られたMicrosoft 365のそっくりなサインインページへと導いています。
研究者は、サイバー犯罪者がGoogle Cloud Application Integrationの Send Email 機能を使い、正規のGoogleアドレス( noreply-application-integration@google[.]com)からフィッシングメールを送信していたことを発見しました。
Google Cloud Application Integrationは、ポイント&クリックの設定で任意のアプリケーションを接続し、業務プロセスを自動化できるようにします。現在、新規顧客には無料クレジットが提供されており、参入障壁が下がることで一部のサイバー犯罪者を引き寄せる可能性があります。
最初のメールは本物のGoogleアドレスのように見え、ボイスメール通知、完了すべきタスク、ドキュメントへのアクセス権限など、日常的で見慣れた内容に言及しています。メールには正規のGoogle Cloud StorageのURLを指すリンクが含まれているため、WebアドレスはGoogleのものに見え、露骨な偽物には見えません。
最初のクリック後、CAPTCHAまたは画像チェックを表示する別のGoogle関連ドメイン(googleusercontent[.]com)にリダイレクトされます。「私はロボットではありません」チェックを通過すると、通常のMicrosoft 365サインインページのように見える画面に到達しますが、よく見るとWebアドレスはMicrosoftの公式ドメインではありません。
このサイトに入力された認証情報は、攻撃者に取得されます。
Googleのインフラを利用することで、フィッシャーはメールフィルターと受信ユーザーの双方から、より高い信頼を得られます。これは脆弱性ではなく、Googleが提供するクラウドベースのサービスの悪用にすぎません。
Googleの対応
Googleは、この活動に対して措置を講じたと述べています。
「Google Cloud Application Integration内のメール通知機能の不正利用を伴う複数のフィッシングキャンペーンをブロックしました。重要なのは、この活動はGoogleのインフラが侵害されたことによるものではなく、ワークフロー自動化ツールの悪用に起因していた点です。この特定の攻撃からユーザーを守るための保護策を実装しましたが、悪意ある行為者は信頼されるブランドを頻繁になりすますため、引き続き注意を促します。さらなる不正利用を防ぐため、追加の対策も講じています。」
私たちは、Google、PayPal、DocuSignなどの企業の信頼されたワークフローや、その他のクラウドベースのサービスプロバイダーを悪用して、フィッシングメールに信憑性を持たせ、標的を認証情報収集用のWebサイトへリダイレクトする複数のフィッシングキャンペーンを確認してきました。
安全を保つ方法
このようなキャンペーンは、フィッシングメールを見抜く責任の一部が依然として受信者にあることを示しています。最新情報を把握することに加え、安全を保つために実践できるヒントをいくつか紹介します。
- ログインページの 実際のWebアドレスを必ず確認する :Microsoftの正規ドメインでない場合は、認証情報を入力しないでください。パスワードマネージャーを使うと、偽サイトでは自動入力されないため役立ちます。
- ボイスメール、ドキュメント共有、権限に関する「緊急」メールには注意する:GoogleやMicrosoftから来たように見えても油断しないでください。緊急性を煽るのは、詐欺師やフィッシャーの一般的な手口です。
- 可能な限りサービスへ直接アクセスする:メール内のリンクをクリックする代わりに、通常のブックマークやアプリからOneDrive、Teams、Outlookを開いてください。
- 多要素認証(MFA)を使用する:盗まれたパスワードだけでは不十分になるようにし、どのアプリがアカウントにアクセスできるかを定期的に見直して、見覚えのないものは削除してください。
プロのヒント: Malwarebytes Scam Guardは、このようなメールを詐欺として認識できます。 疑わしいテキスト、メール、添付ファイル、その他のファイルをアップロードして意見を求められます。詐欺の見分けが本当に得意です。
