クラウドストレージ料金未払いを装うフィッシングメールが急増

セキュリティニュース

投稿日時: 更新日時:

クラウドストレージ料金未払いを装うフィッシングメールが急増

ここ数か月、クラウドストレージのサブスクリプション更新に失敗したように見せかけ、写真やファイルが削除される、アカウントがブロックされるといった不安を煽って誘導する詐欺メールが大規模に出回っています。海外メディアのBleepingComputerは、同種メールが世界中の受信箱に繰り返し届いており、1日に複数パターンが届くケースも確認されていると報じています。

概要

今回のキャンペーンは、クラウドストレージの更新失敗や支払い方法の期限切れを口実に、早急な対応を迫る点が特徴です。件名や本文の文言は多数のバリエーションがあり、受信者の名前やメールアドレス、日付、IDのような番号を混ぜて、それらしく見せる工夫も確認されています。送信元ドメインも幅広く、ランダム生成のように見えるものが多いとされています。

誘導の流れとしては、メール内リンクをクリックすると、まず storage.googleapis.com を経由して別ドメインへリダイレクトされ、偽のクラウドポータル風ページが表示されます。そこでストレージが満杯、バックアップ停止、データ消失といった表示を出し、継続ボタンを押させたうえで、偽のスキャン結果を見せてアップグレードを促します。最終的には正規のクラウドサービスではなく、無関係な商品やサービスのアフィリエイトページや決済フォームへ誘導され、クレジットカード情報の入力や不要な購買につながる構成です。

原因

技術的に難しい突破をしているというより、受信者の心理と運用上の盲点を突いた設計になっています。クラウドの写真や業務ファイルが消えるという訴求は切迫感が強く、さらに storage.googleapis.com のような大手クラウドのインフラを踏み台にすることで、メールフィルタや受信者の目視チェックをすり抜けやすくなります。加えて、偽のIDや期限日を出して判断を急がせ、正規画面に見えるデザインと疑似スキャンで納得感を作り、結果として決済まで持っていく流れです。

情シスとして押さえておきたいのは、同種の詐欺は途中の誘導先が将来変わりやすく、今回はアフィリエイト誘導が中心でも、別キャンペーンでは認証情報の窃取やマルウェア配布に切り替わることがある点です。いまのうちに、メール対策と利用者周知をセットで固めておくのが現実的です。

正規のクラウド事業者はすぐにデータ削除をしない

この手の詐欺が効いてしまう理由のひとつが、すぐ消えるという脅し文句です。ただ、正規の事業者は一般に、未払い直後から即時にファイル削除へ進むわけではありません。

たとえばGoogleは、容量超過時は新規アップロードやバックアップ等が制限され、容量超過が長期(2年)に及んだ場合にコンテンツが削除対象になり得ること、削除前に事前通知(少なくとも3か月前)を行うことを案内しています。
またMicrosoftも、容量超過時は既存ファイルは残りつつ読み取り専用になること、超過が6か月続くとファイルが削除され得ることを案内しています。

社内周知では、クラウドからの請求や容量警告はメールのリンクからではなく、公式アプリや公式サイトに自分でアクセスして確認する、という行動に寄せるのが効果的です。

情シスが取るべき対応

メール対策

  • 外部送信メールで、容量超過や支払い失敗を強く煽る文面と storage.googleapis.com へのリンクが同時に含まれるものを、隔離・追加スキャン対象に寄せます(全面ブロックは業務影響が出やすいので条件付きが現実的です)。

  • 件名に日付やIDを混ぜた脅し文句、受信者名を差し込んだ不自然な日本語や英語、差出人表示名と実ドメインの不一致など、運用しているメールセキュリティ製品のルールに落とし込みます。

  • URL書き換え・サンドボックス、添付ファイルの自動隔離、なりすまし対策(SPF/DKIM/DMARCの強制)を既に導入していても、例外設定や許可リストが広すぎないか棚卸しします。

利用者周知

  • すぐ削除、今日中に停止、緊急対応が必要といった文言は、まず疑う前提にします。正規サービスはアプリ内通知やアカウント画面でも状況確認ができ、メールのボタンを押させる作りにはなりにくいです。

  • 支払い更新が気になる場合は、メールのリンクを使わず、ブックマーク済みの公式サイトや公式アプリから確認するよう徹底します。

  • 既にクリックしてしまった場合でも、入力はしていない、カードは入れていない、という段階で申告してもらえる雰囲気を作ります。早期申告が被害を小さくします。

もし社内で被害が出た場合の初動

  • 決済情報を入力した可能性がある場合は、情報システムだけで抱えず、経理・総務・法務と連携してカード会社への連絡、利用明細の監視、必要に応じた再発行へつなげます。

  • クリックのみの場合でも、端末のセキュリティスキャン、ブラウザ拡張や不審なプロファイル設定の確認、同様メールの社内拡散状況の確認は行っておくと安心です。

 

出典

Cloud storage payment scam floods inboxes with fake renewals