TokyoBlackHatNews

gbhackers.com 4分で読了

脅威アクターがGoogle Cloudサービスを悪用してMicrosoft 365の認証情報を窃取

高度なフィッシングキャンペーンがGoogle Cloudのインフラを悪用し、メールセキュリティフィルターを回避してMicrosoft 365の認証情報を盗み取っている。これは、攻撃者が悪意ある活動に正当性を持たせるため、信頼されたクラウドプラットフォームをますます悪用していることを示している。

Check Pointのサイバーセキュリティ研究者は、約3,200の組織を標的とした大規模な作戦を発見し、14日間で9,300通以上のフィッシングメールが送信されたことを明らかにした。

攻撃者はGoogle Cloud Application Integrationの「Send Email」機能を武器化し、正規のGoogleアドレスからメッセージを配信することで、メールを本物らしく見せ、従来のスパムフィルターを回避した。

このキャンペーンは、ユーザーの信頼を悪用しつつ自動化されたセキュリティツールを回避するよう設計された、多段階のリダイレクト手法を用いている。

受信者には、日常的なGoogle通知を装った、巧妙に作り込まれたメールが届く。ボイスメールのアラート、ドキュメント共有の依頼、権限通知などで、Googleの本物の書式や文言を忠実に模倣している。

被害者が埋め込まれたリンクをクリックすると、まず正規のstorage.cloud.google.comのURLに誘導され、初期の信頼が形成される。

その後、googleusercontent.comを経由してリダイレクトされ、ユーザーは偽のCAPTCHA認証に遭遇する。これは自動化されたセキュリティスキャナーをふるい落とし、実際のユーザーだけを先に進ませるために設計されている。

この検証レイヤーを通過すると、被害者はMicrosoft以外のドメイン上にホストされた、説得力のあるMicrosoft 365のログインページに到達し、入力された認証情報は攻撃者に取得される。

このキャンペーンが成功する理由

Google Cloud Application Integrationは、アプリケーションを接続し、ポイント&クリックの設定で業務プロセスを自動化できる正当なワークフロー自動化ツールである。

新規顧客には300ドル分の無料クレジットが提供され、サイバー犯罪者にとって参入障壁が大幅に下がる。

本来は正当なシステム通知を目的とした同プラットフォームの「Send Email」タスクは、任意の受信者にメールを送れるよう設定できる。この機能を攻撃者は、Googleのインフラ自体を侵害することなく悪用した。

攻撃の複数段階にわたって本物のGoogleドメインが使用されることで、技術的なセキュリティ制御と人の目による確認の双方をすり抜けやすい固有の信頼性が生まれる。ユーザーは認知度の高いプラットフォームからの通信を信頼するよう訓練されているためだ。

分析によれば、このキャンペーンは主に製造・産業分野(19.6%)、テクノロジーおよびSaaS企業(18.9%)、金融サービス企業(14.8%)を標的としていた。

これらの業界では自動通知やドキュメント共有のワークフローが頻繁に利用されるため、Googleブランドのアラートは特に説得力を持つ。

地域別では、影響を受けた組織の約半数が米国(48.6%)に拠点を置き、次いでアジア太平洋(20.7%)、欧州(19.8%)となっている。

Googleの対応

Googleは、メール通知機能の悪用を伴う複数のフィッシングキャンペーンをブロックし、この特定の攻撃ベクトルに対する保護を実装したと確認した。

同社は、この活動がGoogleのインフラの侵害ではなく、ワークフロー自動化ツールの悪用に起因するものだと強調し、さらなる悪用を防ぐため追加の対策を講じていると述べた。

組織および個人は、認証情報を入力する前にログインページの実際のドメインを確認すべきである。パスワードマネージャーは、偽装サイトで認証情報の自動入力を拒否することで役立つ場合がある。

多要素認証(MFA)を実装すれば、盗まれたパスワードだけではアカウントを侵害できない。さらに、認識できないアプリ権限を定期的に見直して削除することで、追加のセキュリティ層が加わる。

ユーザーは、ボイスメールやドキュメント共有に関する緊急性を煽るメールに対して、たとえ信頼できるブランドからのものに見えても懐疑的に対応すべきである。メール内リンクをクリックする代わりに、ブックマークやアプリケーションから直接サービスにアクセスするほうが、より安全に認証できる。

このキャンペーンは、フィッシング攻撃の高度化が進んでいること、そして信頼されたインフラが関与している場合でさえ、正当な自動通知と悪意あるなりすましを見分けることが依然として難しいという課題を浮き彫りにしている。

翻訳元: https://gbhackers.com/google-cloud-services/

ソース: gbhackers.com
#Check Point #Google Cloud #Microsoft 365 #クラウド悪用 #フィッシング #メールセキュリティ回避 #偽CAPTCHA #多段リダイレクト #多要素認証(MFA) #認証情報窃取

関連記事

盗まれたGemini APIキーが自動化されたTelegramの影響工作に悪用

KMW CCTVの深刻な脆弱性、監視映像への不正アクセスを許容

ロシア高官のスマートフォンに外国製スパイウェア——大規模サイバー諜報作戦が発覚