Check Pointの調査レポートでは、Googleの通知メールに見える形でフィッシングメールを配信するキャンペーンが確認されたと報告されています。ポイントは、ありがちな「送信元を偽装したスパム」ではなく、Google Cloudの自動化・通知の仕組みを使って本物のメールと見分けがつきにくい内容を作り、被害者に踏ませる導線を組んでいた点です。
概要
レポートによると、攻撃者は業務連絡として違和感の少ない題材(ボイスメール通知、ファイル共有、権限付与など)を装い、受信者にリンクをクリックさせ、最終的に偽のログイン画面へ誘導して認証情報を入力させようとしていました。
Check Pointは、直近14日間の観測として「約3,200の顧客が標的となり、9,394通のフィッシングメールが送信された」と整理しています。
今回の手口は「Googleが侵害された」という話ではなく、Google Cloudのワークフロー自動化に含まれる通知メールの機能が、攻撃者に悪用される形で使われた、という部分が特徴です。受信側から見ると「Googleのnoreply系の通知と見える」「本文の体裁もそれらしい」ので、引っかかりやすいポイントになっています
また、遷移先フィッシングサイトは多段リダイレクトを行っておりセキュリティ製品や社内の確認担当がリンクをチェックしても、途中で判定が分かれたり、アクセス条件で表示が変わったりすると、検知・封じ込めが遅れます。
Google側の対応(
レポートでは、Google側がこの種の悪用に関連するフィッシングキャンペーンをブロックしたこと、そしてインフラ侵害ではなく自動化ツールの悪用である、という整理が示されています。加えて、追加の悪用防止策を進める趣旨も触れられています。
情シスとして現実的にやるべきこと
このタイプは、「メールが何をさせようとしているか」で止める方が効きます。
社内向けに実務で効くのは、次のような注意喚起です。
-
共有・権限付与・通知系メールのリンクは、メールから開かず、ブックマークした公式入口や社内ポータルから確認する運用にする
-
CAPTCHAが出たから本物、は成立しない、適切なセキュリティ教育を行う
-
認証情報の入力を求められた場合は、ページを閉じて正規の手順でログインし直す
-
万一入力してしまった可能性があれば、パスワード変更だけで終わらせず、セッション無効化・MFA再確認・ログイン履歴確認まで一気にやる
出典
Phishing Campaign Leverages Trusted Google Cloud Automation Capabilities to Evade Detection
関連記事
VS Codeの拡張機能を悪用する画面キャプチャ型 マルウェア「Bitcoin Black」「Codo AI」
Discordの招待リンクの脆弱性をハッカーがサイバー攻撃に悪用
マインクラフト ユーザーを狙う分散型マルウェア:GitHub上の偽Modが個人情報を窃取
AI ブラウザの盲点を突くプロンプトインジェクション「HashJack」-URLの「#」に悪意のあるプロンプトを埋め込む
北朝鮮 ITワーカー、ソーシャルエンジニアリングで企業に潜り込み、給与と情報を窃取
グーグル カレンダーの招待メールに偽装したフィッシングメールを確認
ロシアのハッカーグループが欧州外交官へ偽ワイン会のフィッシングメールを送信
Docker Hub イメージから1万以上の認証情報や認証キーなどが漏洩の可能性
Palo Alto Networksの「Palo Alto Global Protect」とSonicWallを狙うサイバー攻撃 キャンペーン
