1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン

偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン

セキュリティニュース

投稿日時: 更新日時:

偽のGoogle MeetページでPowerShellを実行させマルウェアを実行させるサイバー攻撃のキャンペーン

2025年5月、セキュリティ企業Sucuriの調査により、偽装されたGoogle Meetページを用いた新たなサイバー攻撃が確認されました。今回の攻撃は、ユーザーに自らPowerShellコマンドを実行させるという、極めて巧妙かつ悪質な手法を取っています。これは、従来のスクリプトやフィッシングとは一線を画す、“人間をコードの一部として利用する”新しいタイプの攻撃といえます。

攻撃の概要:偽装サイトで「マイクの権限エラー」を演出

攻撃者は、見た目がGoogle MeetそっくりのHTMLページを作成し、WordPressなどのCMSを悪用してWebサイトに仕込みます。

このHTML ページは自己完結型で外部スクリプト、Google リソース、アナリティクスが含まれないため、非常にステルス性が高くなっています。

訪問者がこのページにアクセスすると、参加ボタンのクリックをトリガーに「マイクの権限が拒否されました」というエラー画面が表示されます。

ここでユーザーは、エラーを解消するためとして「PowerShellコマンドをコピーして実行するように」と誘導されます

画像:Sucuri

上記画像のTryFix(修正)ボタンを選択すると、エラー解決の指示とPowerShellのコマンドが表示され指示に従い、

PowerShellコマンドを実行すると、難読化されたペイロード(XR.txt)が感染サイトから直接ダウンロードされます。

画像:Sucuri

ダウロードされたマルウェアは複雑な環境変数操作と文字列の分割再構成により、実行時にコマンドを動的に生成する手法で構築されています。これにより、アンチウイルスソフトやEDRによる検知回避を試みます。マルウェア検査を行うウェブサイト VirusTotalではTrojanやRAT(Remote Access Trojan)として検出されており、攻撃者による被害者端末の遠隔制御が可能になるとみられます。

特徴と危険性:なぜ見抜きにくいのか?

この攻撃には、以下のような巧妙な要素が組み込まれています。

  • 外部リソースを一切使用しないHTML構成(検出困難)

  • 見た目が完全にGoogle Meetに類似

  • ユーザーの行動(コピペ)を誘導する社会的工学

  • 実行は手動ゆえに「ユーザー自身が操作した」という扱いになる可能性

特に重要なのは、ユーザーに自発的にコマンドを実行させるという点です。従来のフィッシングやドライブバイダウンロードとは異なり、セキュリティソフトが反応しにくく、人間の心理に依存した攻撃という新たな手法が採られています。

対策と対応

組織向けの対応

  • 従業員教育:PowerShellやターミナルで指示なくコマンドを実行しないよう教育

  • Web監視:自社サイトが改ざんされていないか、日次でチェック

  • EDR導入:PowerShellの異常使用を監視できる仕組みを導入

  • セキュリティポリシー:業務端末でのスクリプト実行を制限

個人ユーザー向けの注意点

  • 不審な指示は無視:いかなる場合も「コピペして実行」は鵜呑みにしない

  • セキュリティ拡張機能の導入:ブラウザのセキュリティレベルを引き上げる

  • 公式URLかどうかの確認:GoogleのログインやMeetはhttps://meet.google.comのみが正規です

「自分の手で感染する時代」への備えを

この偽Google Meetを使った攻撃は、今後のマルウェアの在り方を示唆しています。それは「コードを自動で注入する」のではなく、「ユーザーに自ら入力させる」という、新しいステージのサイバー攻撃です。

今回の偽Google Meet攻撃に酷似する事例として、過去に報告された「ClickFIXと呼ばれる攻撃手法があります。ClickFIXは、信頼できそうなUI上で「エラーが発生した」と偽装し、「この操作で直せます」としてユーザーにコマンド入力を促すソーシャルエンジニアリングです。

たとえば、ClickFIXではブラウザの拡張機能インストールや、Windowsのトラブルシューティングを装ったダイアログを用い、ユーザーの手でPowerShellやコマンドプロンプトを操作させる点が共通しています。

ClickFIXは既にロシアや北朝鮮のAPTグループによる悪用が確認されています。

こういったユーザーの信頼を逆手に取り、視覚的な偽装と心理的操作によって脅威を拡大するこの手法に対し、私たちは「クリック前に疑う」という基本姿勢と、技術的な多層防御を今一度見直す必要があります。

一部参照

Fake Google Meet Page Tricks Users into Running PowerShell Malware

関連記事

WordPressの必須プラグイン「mu-plugins」を突くサイバー攻撃、悪用の兆候と対策WordPressの必須プラグイン「mu-plugins」を突くサイバー攻撃、悪用の兆候と対策 TikTokがマルウェアの温床に?AI生成動画でインフォスティーラー拡散させるサイバー攻撃の手口TikTokがマルウェアの温床に?AI生成動画でインフォスティーラーを拡散させるサイバー攻撃の手口 6000以上のワードプレスがサイバー攻撃とハッキング被害6000以上のワードプレスがサイバー攻撃とハッキングの被害 ランサムウェア攻撃グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577)ランサムウェア グループ「TellYouThePass」がPHPの脆弱性を利用してサイバー攻撃(CVE-2024-4577) JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響JavaScriptのライブラリ「Polyfill.io」がサプライチェーン攻撃に悪用 10万以上のサイトに影響 Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見Microsoftが偵察から仮想通貨 盗難まで行うトロイの木馬「StilachiRAT」を発見 2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査2024年のゼロデイ攻撃は一般消費者向けソフトウェアからエンタープライズ ベンダーへ移行-Google調査 Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112)Windows MSHTMLの脆弱性が1年以上サイバー攻撃に悪用されていた(CVE-2024-38112) XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)XZ Utilsにバックドアが仕込まれていた (CVE-2024-3094)