海外コメンタリー

グーグルを利用した巧妙なフィッシング詐欺の手口と対策

Lance Whitney (Special to ZDNET.com) 翻訳校正: 編集部

2025-04-22 07:00

    • メールで送る
    • テキスト
    • HTML
    • 電子書籍
    • PDF
    • ダウンロード
    • テキスト
    • 電子書籍
    • PDF

 Googleのセキュリティの弱点を悪用して、悪意のあるメールやウェブサイトを本物だと思わせる、手の込んだフィッシング詐欺が起きている。

 Android Authorityの報道によると、開発者のNick Johnson氏は「X」への投稿で、Googleのシステムにある脆弱(ぜいじゃく)性を悪用したフィッシング攻撃の標的となった経緯を説明している。最初の投稿には、Googleが同氏のアカウントデータのコピーを提出するよう命じる召喚状を受け取ったと主張する詐欺メールのスクリーンショットが掲載されている。

 メールの内容は正確で、適切な用語が使われていて、スペルミスや文法ミスもない。このメッセージは有効で、Googleによって署名されている。送信元は「no-reply@google.com」で、これはGoogleが使用する正当な自動送信アドレスだ。メールはDKIM署名チェックを通過しており、メッセージの正当性が確認されている。そのため、他の警告も表示されず、完全に本物のように見える。

 メール内のリンクをクリックすると、本物のGoogleページに見えるサポートページが開く。このページは、ユーザーが自分でウェブサイトを作れる「Google Sites」というサービスでホストされている。このようなサービスを使うことで、人々はページを本物だと勘違いしやすくなり、詐欺のもっともらしさが高まる。

 「追加の書類をアップロード」または「ケースを表示」というリンクをクリックすると、Google から送信されたように見えるサインイン画面が表示される。この時点で、これが詐欺である可能性を示す手がかりが1つある。Johnson氏が指摘するように、サインイン画面はGoogle Sitesで提供されており、通常のGoogleアカウントのログインページとは異なる。

 そこでJohnson氏はプロセスを終了した。もしユーザー名とパスワードを入力していたら、攻撃者はログイン資格情報を盗み出し、Googleアカウントを乗っ取る可能性があったと同氏は推測している。

 サイバーセキュリティ企業Taniumのセキュリティ研究責任者であるMelissa Bischoping氏は、「この最近のフィッシング攻撃は、Googleの正当な機能を悪用し、従来のセキュリティ対策を回避する巧妙なメールを送信している。また、Google Sitesを用いて偽のページを作り、ログイン情報を盗んでいる」と述べている。

 Bischoping氏は、「このメールは、OAuthアプリケーションと巧妙なDKIM回避策を組み合わせ、この種のフィッシング攻撃を防ぐための保護手段を回避している」と説明した。「この手法が特に危険なのは、技術的な巧妙さだけでなく、信頼できるサービスを悪用してユーザーと検出ツールの両方を欺く点である」

 この詐欺の責任は、明らかに攻撃者自身にある。しかし、この悪用は幾つかのセキュリティ脆弱性によって可能になっているため、Googleも責任を負うことになるだろう。

 Johnson氏によると、まず、Google Sitesは旧来の製品であり、任意のスクリプトや埋め込みが許可されている。この脆弱性により、攻撃者はウェブページに悪意のあるコードや埋め込みオブジェクトを追加できる可能性がある。次に、メールを詳しく調べると、送信元はGoogleではなく「privateemail.com」のアドレスであることが判明した。そのため、Googleがなぜ最初にこのメールに署名したのかという疑問が生じる。

 詐欺メールを受け取った後、Johnson氏はGoogleに連絡して脆弱性を報告した。当初、同社は同氏の懸念を軽く受け流し、全て意図した動作だと主張したが、その後、態度を翻し、これらのバグを修正する意向を示した。

 Bischoping氏は、「脅威アクターは、正当なビジネス用途があるサービスを意図的に利用するケースが増えている。これは、検出ツールが強化されるにつれ、攻撃者が高価なエクスプロイトで検出を回避するのではなく、検出を完全に回避する方法を模索している傾向を浮き彫りにしている」と述べる。「彼らは、組織が日常業務で利用するツール、サイト、機能に焦点を当てている。通常のトラフィックに溶け込み、『google.com』のような信頼できるドメインを通常の受信者が詳細に確認しない可能性が高いことから、脅威アクターは大きな投資をせずに高い成功率を誇っている」

 Johnson氏に感謝したい。この詐欺を検知し、人々に警告しただけでなく、Googleに問題解決を促した点でも貢献した。ただし、修正が適用されるまで、このような高度なフィッシング攻撃から身を守る方法はあるのだろうか?

 セキュリティ企業Black Duckのインフラセキュリティ実践ディレクターであるThomas Richards氏は、次の推奨事項を提示している。

  1. 緊急の対応を求め、そうでないと深刻な結果になると警告するメールには注意すること。これは通常、メールが不正なものであることを示す兆候である
  2. 「送信者」と「宛先」のメールアドレスを確認すること。「送信者」のドメインが実際の企業のものではない場合、または「宛先」が自分ではない場合、そのメールは詐欺の可能性が高い
  3. メール内のリンクはクリックしないこと。Johnson氏が説明した攻撃では、悪意のあるサイトがGoogleのドメインでホストされていた。しかし、Googleが法的請求を送信し、その後Google Sitesドメインに誘導することはない。疑わしい場合は、リンクをクリックせずにGoogleアカウントに別途ログインし、メッセージやアラートがないか確認すること
  4. 最後に、メールの内容をオンラインで検索してみること。他の人が詐欺として報告しているか、同様のメールを受け取った人がいるかどうかを確認できる
提供:Aitor Diago/Getty Images
提供:Aitor Diago/Getty Images

この記事は海外Ziff Davis発の記事を朝日インタラクティブが日本向けに編集したものです。

ZDNET Japan 記事を毎朝メールでまとめ読み(登録無料)

メールマガジン登録のお申し込み

関連記事

関連キーワード
Google

関連ホワイトペーパー

人気カテゴリ
経営
セキュリティ
クラウドコンピューティング
仮想化
ビジネスアプリケーション
モバイル

特集

CNET Japan Top Story

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    CentOS Linuxアップデート終了の衝撃、最も有力な移行先として注目されるRHELの今
  2. クラウドコンピューティング

    調査結果が示す「Kubernetes」セキュリティの現状、自社の対策強化を実現するには?
  3. クラウドコンピューティング

    標準化されたOS「Linux」で実現するIT環境の効率化、検討すべき9つの事項とは
  4. OS

    Windows 11移行の不安を“マンガ”でわかりやすく解消!情シスと現場の疑問に応える実践ガイド
  5. 運用管理

    AWSに移行することのメリットと複雑さ--監視ソリューションの導入から活用までを徹底解説
ホワイトペーパーライブラリー

ZDNET Japan クイックポール

所属する組織のデータ活用状況はどの段階にありますか?

NEWSLETTERS

エンタープライズコンピューティングの最前線を配信

ZDNET Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]