サイバーセキュリティ企業Avananが米国時間1月6日に同社ブログ上で公開したレポートによると、「Googleドキュメント」の生産性向上機能が悪用され、スパムフィルターやセキュリティツールを迂回(うかい)して悪意あるコンテンツが配布される事例が増えているという。
AvananのJeremy Fuchs氏は、サイバー攻撃者がGoogleドキュメントや「Googleスライド」のコメント機能を悪用し、主に「Outlook」ユーザーに対する攻撃を仕掛けている事実を2021年12月に確認したと記している。
Fuchs氏はレポートに、「この攻撃は、Googleドキュメントの文書に対してコメントを追加するかたちで実行される。そのコメント内で@を使って標的をメンションするだけで、標的の受信トレイに電子メールが自動的に送信される。Googleから送付されるこの電子メールには、悪意のあるリンクやテキストを含むコメント全文が含まれている。さらに、電子メールアドレスは表示されず、攻撃者の名前が表示されるのみであるため、なりすましが容易になっている」と記している。
このテクニックはサイバー犯罪者らによってかなり前から用いられてきており、Googleは2020年に対策をリリースしている。しかしAvananのレポートには、リサーチャーらがGoogleドキュメントやGoogleスライドのコメントに悪意のあるリンクを付加してこの脆弱性を実証している画像が掲載されている。
Fuchs氏は「われわれの観測によると、標的にされているのは主にOutlookユーザーだが、それがすべてではない。ハッカーらは100を超える『Gmail』アカウントを用い、こうした電子メールを30テナントにわたる500の受信トレイに送信していた」とも記し、これらの電子メールがGoogleドキュメントの電子メール機能によってGoogleから直接送信されてくるため、何らかのツールによってこの攻撃を抑止するのは難しいと指摘している。
提供:Avanan
Fuchs氏は、ほとんどのAllow List(許可リスト)にはGoogleが登録されており、大半のユーザーはGoogleからのメールを信頼していると説明している。また、電子メールの発信元にはハッカーの電子メールアドレスが表示されず、確認できるのは表示名だけであるため、スパム対策機能はこの攻撃に対して手も足も出せない。つまり、このコメントが社内にいる人物から送られてきたものか、他の何者かによって送られてきたものか、誰にも判断できない。
またFuchs氏は、「さらにこの電子メールには、リンクやテキストとともにコメント全文が含まれている。このため、被害者はドキュメントにアクセスする必要もない。電子メール自体にペイロードが含まれているのだ。加えて、攻撃者はドキュメントを共有する必要すらない。コメント内で被害者をメンションするだけで十分だ」と記している。
同社は2021年にも、Googleドキュメントを悪用し、エンドユーザーに悪意あるフィッシングウェブサイトへのリンクを配信できる別のエクスプロイトを報告した旨を記している。
Avananは、Googleドキュメントのコメントとして送られてきた内容に含まれているリンクをクリックする前に、さまざまな点からその真正性を確認するよう推奨している。
多くのサイバーセキュリティ専門家らは、この種の攻撃の成功率が高いことから、サイバー犯罪者らはこういった攻撃を何年も前から実行してきていると主張している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
